Video: Kiinan hullu luottoluokitus ja muita uutisia - TLDR LIVE (Lokakuu 2024)
Julkisen rehellisyyden keskuksen raportin mukaan liittovaltion vaalilautakuntaa kärsi massiivinen kyberhyökkäys tunnin kuluttua hallituksen sammutuksen alkamisesta. CPI-raportin mukaan kiinalaiset olivat takana "sabotaasin pahin teko" viraston 38-vuotisessa historiassa.
Kolme tutkimukseen osallistunutta virkamiestä vahvisti hyökkäyksen CPI: lle, ja FEC myönsi tapahtuman lausunnossaan. CPI-raportissa ei kuitenkaan selitetty miksi viranomaiset uskoivat Kiinan osallistuvan asiaan, tai se ei antanut mitään yksityiskohtia verkon tunkeutumisesta sen lisäksi, että hyökkääjät kaatuivat useita FEC-tietokonejärjestelmiä. Pyydettäessä lausuntoa FEC lähetti Security Watchin kotimaan turvallisuusministeriöön eikä toimittanut mitään tietoja.
Se, että hyökkäys tapahtui 16 päivän sulkemisen aikana, ei saisi olla suuri yllätys, koska monet turvallisuusasiantuntijat olivat varoittaneet hyökkääjät saattavat hyödyntää tietotekniikan henkilöstöä takavarikoidakseen hyökkäyksen käynnistämiseen. Koska vähemmän ihmisiä katseli verkkoja, hyökkääjillä oli paljon mahdollisuuksia. Itse asiassa FEC oli painottanut kaikkia 339 viraston työntekijää, koska yhtäkään sen henkilöstöstä ei pidetty "välttämättömänä välittömien uhkien estämiseksi" liittovaltion omaisuudelle, CPI: n mukaan.
" Korkea riski" verkon tunkeutumiseen
Takavalo on 20/20, mutta hyökkäys tapahtui melkein vuoden kuluttua siitä, kun riippumaton tilintarkastaja oli varoittanut FEC: tä siitä, että sen IT-infrastruktuurilla on suuri hyökkäysriski. Tilintarkastaja huomautti, että vaikka FEC: llä oli joitain käytäntöjä, ne eivät olleet riittäviä ja riskien vähentämiseksi vaadittiin välittömiä toimia. FEC oli eri mieltä tilintarkastajan suosituksista, koska sen järjestelmät olivat turvallisia.
"FEC: n tiedot ja järjestelmät ovat vaarassa, koska FEC: n virkamiehet ovat päättäneet olla ottamatta käyttöön kaikkia liittohallituksen hyväksymää vähimmäisturvallisuusvaatimuksia", Leon Snead & Company -yrityksen tilintarkastajat kirjoittivat marraskuussa 2012.
Asiaan liittyi salasanoja, joiden voimassaoloaika ei koskaan vanhentunut, joita ei ollut vaihdettu vuodesta 2007 tai joita ei ollut koskaan käytetty sisäänkirjautumiseen. Vammaiset tilit pysyivät Active Directoryssa ja urakoitsijoille annetut kannettavat tietokoneet käyttivät raportin mukaan samaa "helposti arvata" -salasanaa. Vaikka FEC vaati tietokonejärjestelmissä kaksifaktorista todennusta, tarkastus tunnisti 150 tietokonetta, joita voidaan käyttää etäyhteyteen FEC-järjestelmiin, joissa lisäsuojaus ei ollut käytössä. Tilintarkastajat ilmoittivat myös huonoista korjaustiedoista ja vanhentuneista ohjelmistoista.
"Paikalla olevat valvontatoimet heijastavat operaation tukemiseksi ja viraston tietojen suojaamiseksi asianmukaista turvatasoa ja hyväksyttävää riskiä", virasto sanoi vastauksessaan tarkastukseen.
Ei ole selvää, hyökkäsivätkö hyökkääjät huonoilla salasanoilla vai millä tahansa muulla raportissa ilmoitetulla ongelmalla lokakuun hyökkäyksen aikana. Koska virasto oli hylännyt tarkastuskertomuksessa esitetyt kritiikit, todennäköisesti monet kysymykset olivat ratkaisematta lokakuusta lähtien.
Turvallisuus, ei määräykset
Viraston piti hyväksyä NIST: n tietoturvavalvonta FIPS 200: ssa ja SP 800-53: ssa ja valtuuttaa, että kaikki urakoitsijat ja ulkopuoliset toimittajat noudattavat vuoden 2002 liittovaltion tietoturvan hallintaa koskevassa laissa (FISMA) esitettyjä vaatimuksia, tarkastajat kertoivat. Liittohallituksen kanssa työskentelevien urakoitsijoiden on noudatettava FISMA: ta, ja vain koska FEC oli FISMA-vapautettu, se ei tarkoittanut urakoitsijoiden olevan, tarkastajat kertoivat.
FEC näytti tekevän tietoturvapäätöksiä sen perusteella, mitä viraston on lain mukaan vaadittava, sen sijaan, että harkitsisi sitä, mikä tekisi viraston tieto- ja tietojärjestelmät turvallisemmiksi, tarkastuskertomuksessa todettiin.
Organisaatioiden on tärkeää ymmärtää, että turvallisuus ei ole pelkästään ohjeiden ja standardien luettelon tarkistamista. Järjestelmänvalvojien on mietittävä, mitä he tekevät ja varmistettava, että heidän toimintansa ovat infrastruktuurin tarpeiden mukaisia. FEC vaati, että sillä oli käytössään politiikat ja ohjeet tietojen ja verkkojen suojelemiseksi, ja se riitti, koska se noudatti toista tietoturvadirektiiviä. Virasto ei ollut pysähtynyt pohtimaan sitä, tekivätkö nämä valvontatoimenpiteet ja käytännöt todella verkonsa turvallisuuden.
FEC: n heikko turvallisuusasento tarkoitti, että sen "tietoverkkoon, tietoon ja tietoon liittyy lisääntynyt vaara menettää, varastaa, manipuloida, keskeyttää toiminta ja muut haitalliset toimet", varoitettiin raportissa.
Ja jätetään miettimään, mitä hyökkääjät tekivät, mikä teki tunkeutumisesta viraston historian suurimman sabotaasin teon ja mitä muut virastot ovat saattaneet osua saman ajanjakson aikana. Voimme vain toivoa, että muut virastot olivat tehneet parempaa työtä tietojen ja verkkojen vähimmäisturvallisuusstandardien täyttämisessä.
