Video: Контактный пункт для подачи и подачи петли в настольный теннис (Oktober 2024)
Zvezno volilno komisijo je prizadela množična kibernetska napada več ur po začetku vladne ukinitve, kaže poročilo Centra za javno integriteto. Poročilo CPI je trdilo, da Kitajci stojijo za "najhujšim sabotažami" v 38-letni zgodovini agencije.
Trije vladni uradniki, vključeni v preiskavo, so napad potrdili na CPI, FEC pa je v izjavi priznal incident. Vendar poročilo CPI ni pojasnilo, zakaj so uradniki verjeli, da je bila vpletena Kitajska, ali zagotovili kakršne koli podrobnosti o vdoru v mrežo, ki presega dejstvo, da so napadalci strmoglavili več računalniških sistemov FEC. Na zahtevo za izjavo je FEC Varnostni sat napotil na Oddelek za domovinsko varnost in ni posredoval nobenih informacij.
Dejstvo, da je prišlo do napada med 16-dnevnim izklopom, ne bi smelo biti veliko presenečenje, saj so številni varnostni strokovnjaki napadalce opozorili, da lahko izkoristijo, da se IT-osebje sproži napad. Z manj ljudi, ki so gledali mreže, je bilo za napadalce veliko priložnosti. V resnici je FEC nasmejal vseh 339 zaposlenih v agenciji, saj nihče od zaposlenih ni ocenil, da je "potreben za preprečevanje neposrednih groženj" zvezni lastnini, poroča CPI.
" Visoko tveganje" za mrežne vdore
Vzvratni pregled je 20/20, vendar se je napad zgodil skoraj leto dni, potem ko je neodvisni revizor opozoril FEC, da je njegova IT infrastruktura "visoko ogrožena" za napad. Revizor je opozoril, da čeprav ima FEC določene politike, niso zadostne in da bi bilo treba takoj zmanjšati tveganja. FEC se ni strinjal z večino priporočil revizorja in trdil, da so njegovi sistemi varni.
"Informacijski in informacijski sistemi FEC so visoko ogroženi zaradi odločitve uradnikov FEC, da ne sprejmejo vseh minimalnih varnostnih zahtev, ki jih je sprejela zvezna vlada, " so novembra 2012 zapisali revizorji Leon Snead & Company.
Med vprašanji so bila gesla, ki niso nikoli potekla, niso bila spremenjena od leta 2007 ali se nikoli niso uporabljala za prijavo. Onemogočeni računi so ostali v Active Directoryu, prenosni računalniki, izdani izvajalcem, pa so uporabili isto "zlahka ugibano" geslo, navaja poročilo. Čeprav je FEC v svojih računalniških sistemih zahteval dvofaktorsko preverjanje pristnosti, je revizija opredelila 150 računalnikov, ki bi jih lahko uporabili za daljinsko povezavo s sistemi FEC, ki nimajo omogočene dodatne zaščite. Revizorji so označili tudi slabe procese popravkov in zastarelo programsko opremo.
"Obstoječi nadzor odraža ustrezno raven varnosti in sprejemljivo tveganje za podporo misije in varovanje podatkov agencije, " je agencija povedala v odgovoru na revizijo.
Ni jasno, ali so napadalci izkoristili slaba gesla ali katero od drugih vprašanj, ki so bila med oktobrskim napadom označena v poročilu. Glede na to, da je agencija kritike v revizijskem poročilu zavrnila, je verjetno, da so mnoga vprašanja od oktobra ostala nerešena.
Varnost, ne predpisi
Agencija je morala sprejeti varnostne nadzorne sisteme NIST v FIPS 200 in SP 800-53 ter pooblastiti, da vsi izvajalci in tretji ponudniki upoštevajo zahteve, ki jih določa Zakon o upravljanju informacijske varnosti iz leta 2002 (FISMA), so povedali revizorji. Izvajalci, ki sodelujejo z zvezno vlado, morajo biti v skladu s sistemom FISMA, in to, ker je bila FEC izvzeta iz FISMA, še ni pomenilo, da so pogodbeni izvajalci, pravijo revizorji.
Videti je, da FEC sprejema odločitve o varnosti IT na podlagi tega, kar mora agencija uradno storiti, namesto da bi razmišljal o tem, kaj bi informacijske in informacijske sisteme agencije postalo bolj varno, navaja revizijsko poročilo.
Za organizacije je pomembno, da se zavedajo, da varnost ne gre le za preverjanje seznama smernic in standardov. Skrbniki morajo razmišljati o tem, kaj počnejo, in poskrbeti, da bodo njihova dejanja v skladu s potrebami njihove infrastrukture. FEC je vztrajal, da ima vzpostavljene politike in smernice za zaščito svojih podatkov in omrežij, in to je bilo dovolj, ker je izpolnjeval drugačno varnostno direktivo. Agencija ni nehala preučevati, ali so ti nadzori in politike dejansko zagotovili varnost omrežja.
Slaba zaščitna drža FEC je pomenila, da je zaradi "računalniškega omrežja, podatkov in informacij večje tveganje izgube, tatvine, manipulacije, prekinitve delovanja in drugih škodljivih ukrepov", opozarja poročilo.
In sprašujemo se, kaj so napadalci naredili zaradi vdora v največjo akcijo sabotaže v zgodovini agencije in katere druge agencije so se lahko v istem obdobju zadele. Upamo lahko le, da so druge agencije bolje opravile izpolnjevanje minimalnih varnostnih standardov za svoje podatke in omrežja.
