Beeld: AMERIKAANSE Senaat
Volgens een nieuw rapport van de AMERIKAANSE Senaat gisteren onthult een tien jaar lange reeks van tekortkomingen van acht agentschappen van de overheid, die niet te volgen basic-cyber-security-protocollen en bloot hun netwerken en ONS burgers’ de meest persoonlijke gegevens te aanvallers.
Het rapport werd besteld door de AMERIKAANSE Senatoren Rob Portman (R-OH) en Tom Karper (D-NL), de Voorzitter en vooraanstaand Lid van de US Senate Permanent Subcommittee on Investigations (PSI) on Homeland Security and Governmental Affairs.
De PSI onderzoekers bekeken de afgelopen tien jaar van Inspecteurs-Generaal (IG) rapporteert over de naleving van de federal information security standards.
Het onderzoek duurde tien maanden en geanalyseerd van de cyber-security compliance van acht AMERIKAANSE overheidsinstellingen: (1) de Afdeling van de Staat; (2) het Ministerie van Transport; (3) het Ministerie van Volkshuisvesting en Stedelijke Ontwikkeling; (4) het Ministerie van Landbouw; (5) het Ministerie van Volksgezondheid en Human Services; (6) het Ministerie van Onderwijs; (7) de Social Security Administration; en (8) het Ministerie van Homeland Security.
De onderzoekers specifiek geanalyseerd op de activiteiten van de eerste zeven agentschappen, omdat ze werden geciteerd in het Kantoor van Budget en Management (OBM) verslagen als met de laagste classificaties met betrekking tot cybersecurity praktijken.
De AMERIKAANSE regering is de droevige staat van cyber-security practices
Het onderzoek effectief samengesteld met een keur van slechte praktijken en gigantische fouten in de activiteiten van de acht van haar agentschappen in een groot verslag, waarbij het perspectief van de droevige staat van de regering van de VS cyber-security-houding.
Bijvoorbeeld, een van de grootste problemen PSI onderzoekers gevonden werd op het Ministerie van Onderwijs, waar de beheerders waren mislukt om de beveiliging van hun netwerk. Een 2018 IG rapport bleek dat iedereen het kan openen en handhaven van een verbinding met de DoE-netwerk voor maximaal 90 seconden, met een interval lang genoeg is om de lancering van geautomatiseerde aanvallen tegen de DoE-servers.
Maar dit was slechts een van de vele vondsten. PSI onderzoekers vonden ook dat vijf van de acht organisaties werden niet onderhouden, juist en volledig zijn HET actief voorraden.
Dit is een groot probleem. Bijvoorbeeld, vorige week, NASA toegelaten te krijgen gehackt nadat een ongeoorloofde Raspberry Pi apparaat aangesloten op het netwerk, die later werd gebruikt als toegangspunt door hackers.
Met het ontbreken van een nauwkeurige IT asset inventory, systeembeheerders kunnen niet implementeren bescherming of zorg ervoor dat software-updates worden toegepast op alle apparaten die zijn aangesloten op een netwerk, waarbij u een ruimte in een agentschap bescherming.
En dit is precies wat er gebeurde. Volgens het rapport zijn zes van de acht onderzochte agentschappen had gefaald toepassen van security patches en andere kwetsbaarheid sanering acties.
Bovendien, het PSI-rapport is ook gebleken dat zeven van de acht federale instanties is mislukt om te zorgen voor een adequate bescherming van de persoonlijk identificeerbare informatie (PII); zoals het gebruik van encryptie te beschermen malware of kwaadaardige insiders van screenshoting of exfiltrating leesbare vorm PII gegevens.
De bureaucratie slaat weer toe
Maar zelfs als de agentschappen en hun IT-personeel wilde maken van veranderingen en het verbeteren van hun cyber-security status, dingen niet zou hebben gekregen tot ver in het rapport ook vinden.
Bijvoorbeeld, alle acht instanties gebruikt legacy-systemen of toepassingen die zijn niet langer ondersteund door de leveranciers met beveiligingsupdates. Dit betekent dat zelfs als de werknemers wilden patches van toepassing zijn, sommige stukken waren gewoon niet beschikbaar.
Nieuwe systemen werden direly nodig zou zijn bescherming tegen moderne dreigingen.
Verder diverse Chief Information Officers voor de agentschappen beoordeeld door de Subcommissie heeft niet de bevoegdheid om organisatie-breed beslissingen inzake de beveiliging van informatie, wat betekent dat de bureaus werden vast in een staat van onzekerheid waar Cio ‘ s wist dat ze het draaien van onveilige systemen en bloot gegevens van de gebruiker, maar kon er niets aan doen.
Andere verontrustende bevindingen:
Het Department of Homeland Security niet aan te pakken cybersecurity zwakke punten voor minstens een decennium. DHS systemen ontbreekt geldig autoriteiten om te werken gedurende zeven opeenvolgende boekjaren. Het State Department had terugkerende cybersecurity kwetsbaarheden, sommige van die uitstaan voor meer dan vijf jaar. Het Ministerie van Vervoer, Inspecteur-Generaal geïdentificeerd cybersecurity zwakke punten van het agentschap die stonden voor ten minste 10 jaar. Het Ministerie van Landbouw had terugkerende cybersecurity problemen die bleef zo lang als 10 jaar.Het Ministerie van Volksgezondheid en Human Services had lange cybersecurity zwakke punten, waaronder enkele geïdentificeerd bijna een decennium geleden. Het Ministerie van Onderwijs had terugkerende cybersecurity zwakke punten dat bemoeilijkt de Afdeling de mogelijkheid om te komen tot een effectieve informatiebeveiliging programma. De Social Security Administration had hardnekkige cybersecurity problemen riskeren de blootstelling van de persoonlijke informatie van 60 miljoen Amerikanen die ontvangen uitkeringen van de Sociale Zekerheid
De volledige 99 pagina ‘ s tellende rapport van de US Senate Permanent Subcommittee on Investigations is hier beschikbaar.
Verwante regering dekking:
NASA gehackt vanwege niet-geautoriseerde Raspberry Pi aangesloten te zijn networkDHS CISA waarschuwt van Iraanse hackers’ gewoonte van de inzet van data-vegen malwareCyberwarfare escalatie net een nieuwe en gevaarlijke turnUS lanceert cyber-aanvallen gericht op Iraanse raket en raketsystemen
ONS wetsvoorstel te dwingen tech reuzen zijn om gebruikers te vertellen hoe veel van hun gegevens worthFBI waarschuwing: Buitenlandse spionnen het gebruik van sociale media voor het doel van de overheid aannemers
Hoe Estland werd een e-overheid powerhouse TechRepublicSri Lanka blokken van sociale media na de dodelijke Pasen explosies CNET
Verwante Onderwerpen:
Overheid
CXO
Veiligheid
Innovatie
Smart Cities