Video: Inside with Brett Hawke: Michael Klim (Oktober 2024)
Den føderale valgkommission blev ramt af et massivt cyberangreb timer efter, at regeringslukningen begyndte, ifølge en rapport fra Center for Public Integrity. CPI-rapporten hævdede, at kineserne stod bag "den værste sabotage" i agenturets 38-årige historie.
Tre regeringsembedsmænd, der var involveret i efterforskningen, bekræftede angrebet på CPI, og FEC anerkendte hændelsen i en erklæring. CPI-rapporten forklarede imidlertid ikke, hvorfor embedsmændene troede, at Kina var involveret, eller giver nogen detaljer om netværkets indtrængen ud over, at angribere styrtede ned ad flere FEC-computersystemer. På anmodning om en erklæring henviste FEC Security Watch til afdelingen for sikkerhed i hjemlandet og fremsatte ingen oplysninger.
Det faktum, at et angreb under den 16-dages nedlukning, skulle ikke være en stor overraskelse, da mange sikkerhedseksperter havde advaret angribere muligvis drage fordel af, at it-personale blev overskydet til at starte et angreb. Da færre mennesker så netværkene, var der mange muligheder for angribere. Faktisk havde FEC overskredet alle 339 agenturansatte, da ingen af dens medarbejdere var blevet betragtet som "nødvendige til forebyggelse af forestående trusler" mod føderal ejendom, ifølge CPI.
" Høj risiko" for netværksintrusioner
Bagefter er 20/20, men angrebet skete næsten et år efter, at en uafhængig revisor havde advaret FEC om, at dens IT-infrastruktur var i "høj risiko" for angreb. Revisoren påpegede, at selvom FEC havde nogle politikker på plads, var de ikke tilstrækkelige, og der var behov for øjeblikkelig handling for at reducere risiciene. FEC var uenig i flertallet af revisors anbefalinger og argumenterede for, at dens systemer var sikre.
"FEC's informations- og informationssystemer er i høj risiko på grund af beslutningen truffet af FEC-embedsmænd om ikke at vedtage alle minimumskrav til sikkerhed, som den føderale regering har vedtaget, " skrev revisorer fra Leon Snead & Company i november 2012.
Problemer omfattede adgangskoder, der aldrig udløb, ikke var blevet ændret siden 2007 eller aldrig var blevet brugt til at logge på. Deaktiverede konti forblev i Active Directory, og laptops, der blev udstedt til entreprenører, brugte den samme "let gætte" adgangskode ifølge rapporten. Selvom FEC krævede tofaktorautentisering på sine computersystemer, identificerede revisionen 150 computere, som kunne bruges til ekstern forbindelse til FEC-systemer, der ikke har aktiveret den ekstra beskyttelse. Revisorer markerede også dårlige programrettelsesprocesser og forældet software.
"De kontroller, der er på plads, afspejler det passende sikkerhedsniveau og acceptabel risiko for at understøtte missionen og beskytte agenturets data, " sagde agenturet i sit svar på revisionen.
Det er ikke klart, om angriberen drage fordel af de dårlige adgangskoder eller nogen af de andre problemer, der blev markeret i rapporten under oktoberangrebet. I betragtning af, at agenturet havde afvist kritikken i revisionsrapporten, er det sandsynligvis, at mange af problemerne forblev uopløst fra oktober.
Sikkerhed, ikke regler
Agenturet havde brug for at vedtage NIST IT-sikkerhedskontrol i FIPS 200 og SP 800-53 og give mandat til, at alle entreprenører og tredjepartsudbydere følger kravene, der er beskrevet i Federal Information Security Management Act fra 2002 (FISMA), sagde revisorerne. Entreprenører, der arbejder med den føderale regering, skal overholde FISMA, og bare fordi FEC var FISMA-fritaget, betød det ikke, at entreprenørerne var det, sagde revisorerne.
FEC syntes at tage IT-sikkerhedsbeslutninger baseret på, hvad agenturet lovligt er forpligtet til at gøre, snarere end at overveje, hvad der ville gøre agenturets information og informationssystemer mere sikre, siger revisionsrapporten.
Det er vigtigt for organisationer at indse, at sikkerhed ikke kun handler om at tjekke en liste over retningslinjer og standarder. Administratorer skal overveje, hvad de laver, og sørge for, at deres handlinger er i overensstemmelse med, hvad deres infrastruktur har brug for. FEC insisterede på, at der var politikker og retningslinjer for at beskytte sine data og netværk, og det var tilstrækkeligt, fordi det overholdt et andet sikkerhedsdirektiv. Agenturet var ikke stoppet for at overveje, om disse kontroller og politikker rent faktisk gjorde sit netværk sikkert.
FEC's dårlige sikkerhedsstillelse betød, at dets "computernetværk, data og information er i en øget risiko for tab, tyveri, manipulation, afbrydelse af operationer og andre uheldige handlinger, " advarede rapporten.
Og vi lader os undre os over, hvad angriberen gjorde, der gjorde indtrængen til den største sabotagehandling i agenturets historie, og hvilke andre agenturer kan have været ramt i samme tidsperiode. Vi kan kun håbe, at andre agenturer havde gjort et bedre stykke arbejde med at opfylde minimumssikkerhedsstandarder for dets data og netværk.
