При одита за киберсигурност балистичните отбранителни системи на САЩ се разкриха неефективни практики…

Докладът на генералния инспектор на Министерството на отбраната на САЩ, публикуван тази седмица, очертава неефективните практики в областта на киберсигурността, които се използват за защита на балистичните отбранителни системи на САЩ (BMDS).

Балистичните системи за противоракетна отбрана се използват от САЩ за противопоставяне на балистични ракети с къс, среден, междуконтинентален и дълъг обсег, насочени към Съединените американски щати. Тъй като тези системи се контролират от компютри и софтуер, те са изложени на риск към тях да бъдат  насочени таргетирани атаки, спонсорирани от вражески държави, които се опитват да придобият контрол над системите, да ги повредят или да откраднат класифицираната информация, както и изходния код.

На 14 март 2014 г. главният информационен директор на (Департамента по отбрана (DoD) заяви, че DoD трябва да въведе контрола за сигурност на Националния институт за стандарти и технологии (NIST), за да защити техните системи, включително BMDS.

В специално изработения от DoD Доклад е доказано, че съоръженията на BMDS не успяват да използват необходимите контроли за сигурност, като например многофакторно удостоверяване, оценка на уязвимостта и смекчаване на несъответствията, сигурност на сървърите, защита на класифицирани данни, съхранявани на сменяеми носители, криптиране на предаваната техническа информация, сигурност на физическите съоръжения като камери и сензори. Също така не са били извършвани рутинни оценки, за да се подсигури, че предпазните мерки са налице.

В едно съоръжение е било позволено на потребителите да използват еднофакторно удостоверяване (само потребителско име + парола) за период до 14 дни по време на създаването на профила. Докладът показа, че в много случаи потребителите ще продължат да използват само потребителско име и парола за 14 дни. В друго съоръжение администраторът на домейна никога не се притеснява да конфигурира правила, които не позволяват на потребителите да влизат, ако не използват мултифакторно удостоверяване. Накрая, едно съоръжение използва система, която дори не поддържа мултифакторно удостоверяване.

Вече откритите уязвимости, които биха позволили на атакуващите да се намесят в системите или съоръженията, също не са били правилно третирани и защитени в многобройни съоръжения. Например, сканиране на уязвимости в едно съоръжение от март 2018 г. показа, че уязвимостите, открити при сканиране през януари 2018, никога не са били коригирани. Другите съоръжения съдържат уязвимости, открити през 2013 г. и още не са били поправени, когато се е извършила нова оценка през април 2018 г.

В докладите се посочва, че съоръженията не криптирали данни, които се съхраняват на сменяеми устройства или използват системи, които съхраняват данни за копирането на данните. Някои устройства “не знаят“, че дори е необходимо да шифроват данни за сменяеми устройства.

Освен това служителите не криптират данни, съхранявани на сменяеми носители. Собственикът на системата и служителя по сигурността на информационната система заяви, че техните компоненти не криптираха данните, съхранявани на подвижни носители, защото не изискват използването на криптиране “, заяви докладът на DoD. “Макар че не изисква данните, съхранявани на сменяеми носители, да бъдат кодирани, собствениците на системи и офицерите по сигурността на информационните системи носят отговорност за въвеждането и прилагането на политики и процедури за федерална сигурност и сигурност на киберзащитата. Ще започне кодирането на данните, съхранени на подвижни носители, използвайки сертифицирани методи на Federal Information Processing Standard 140-2 като трябва да приключи до 9 януари 2019 г., като условие за работа “.

В допълнение към проблемите, свързани със сигурността на компютрите и данните, имаше и проблеми с физическата сигурност. Имаше случаи на блокиране на сървърни шкафове, в продължение на четири години. Датчикът на вратата изписва съобщение, че тя е затворена, когато всъщност е отворена. По този начин хора са получили неоторизиран достъп. Камерите за сигурност не винаги са били инсталирани на изискваните места.

Препоръките на кабинета на Генералния инспектор на ДД са онова, което очаквате. Коригирайте тези проблеми и изпълнете необходимите федерални изисквания. За съжаление главните информационни служители от различни съоръжения не отговориха на проектодоклада, а службата на генералния инспектор поиска от директора, командващия генерал, командващия и главните информационни служители да коментират окончателния доклад до 8 януари 2019 г.

Източник: По материали в интернет