Afbeelding: Lexmark
US Department of Defense (DoD) werknemers hebben gekocht elektronica ter waarde van meer dan $32,8 miljoen in het fiscale jaar 2018 waarvan bekend is dat bevatten kwetsbaarheden in de beveiliging, een rapport van het Pentagon de inspecteur-generaal zei vorige week.
Deze aankopen werden gedaan door het Leger en de luchtmacht werknemers met betaalkaarten uitgegeven door de overheid voor micro-aankopen van onder de $10,000.
Als gevolg van deze aankopen, de DOD Inspecteur-Generaal meent dat het Leger en de luchtmacht zijn de invoering van kwetsbare apparatuur in hun netwerken die kan worden benut door ONS tegenstanders.
Het rapport vermeld Lexmark-printers, GoPro camera ‘ s en Lenovo-computers als problematisch producten, als voorbeelden.
De Lexmark aankopen
“Het leger en de luchtmacht GPC [regering de aankoop van de kaart] houders gekocht dan 8.000 Lexmark-printers, voor een totaal van meer dan $30 miljoen, voor gebruik op het Leger en de luchtmacht netwerken,” de DOD Inspecteur-Generaal (DODIG) rapport gezegd.
De aanschaf van printers van Lexmark was een grote vergissing, accountants zei, het citeren van een 2018 Congres verslag over supply chain kwetsbaarheden die waarschuwde tegen het gebruik van Lexmark apparaten, die aanspraak maken op de China-gebaseerd bedrijf had banden met het Chinese leger, en het land met kernwapens, en cyberespionage programma ‘ s.
Daarnaast is de DODIG ook op gewezen dat Lexmark printers zijn beïnvloed door meer dan 20 kwetsbaarheden in het verleden”, met inbegrip van het opslaan en verzenden van gevoelige toegang tot het netwerk van referenties in de tekst en waardoor de uitvoering van kwaadaardige code op de printer.”
“Deze kwetsbaarheden kunnen externe aanvallers gebruiken een aangesloten Lexmark printer te voeren cyberespionage of het starten van een denial-of-service aanval op een DoD netwerk,” de DODIG zei.
Maar in een verklaring gestuurd naar ZDNet, Brad Klei, Lexmark Senior Vice President en Chief Information and Compliance Office, zei dat hij was “teleurgesteld” en “sterk oneens met de vertegenwoordiging van Lexmark in de DoD Inspecteur-Generaal Audit,’ roept Lexmark vereniging met de Chinese overheid “ongegrond.”
De GoPro aankopen
Bovendien, het Leger en de luchtmacht ook gekocht 117 GoPro action camera ‘ s ter waarde van bijna $98,000.
“Echter, de camera’ s hebben kwetsbaarheden waardoor een aanvaller op afstand toegang tot het opgeslagen netwerk referenties en live video streams,” auditors zei.
“Door gebruik te maken van deze kwetsbaarheden, kan een kwaadwillende partij kon bekijk de video stream, start de opname, of neem foto’ s zonder medeweten van de gebruiker.”
De Lenovo aankopen
Maar het grootste probleem was met Lenovo-computers. Zij het niet de meest dure aankopen, de DODIG gemarkeerd verschillende problemen met het kopen van Lenovo versnelling, zoals de vele security waarschuwingen uitgegeven door de regering van de VS tegen het gebruik van deze apparaten.
Bijvoorbeeld, in 2006, het State Department verbod op het gebruik van Lenovo-computers op hun geclassificeerd netwerken na meldingen dat Lenovo-computers werden vervaardigd met verborgen hardware of software gebruikt voor cyberespionage.
De DHS uitgegeven op een soortgelijke waarschuwing in 2015 over Lenovo-computers met vooraf geïnstalleerde spyware, samen met diverse kritieke kwetsbaarheden.
In 2016, de Joint Chiefs of Staff Intelligence Directoraat ook uitgegeven eigen-alert over Lenovo, met de waarschuwing dat de handheld Lenovo-apparaten kunnen introduceren aangetast hardware in de DoD supply chain, het creëren van een cyberespionage risico geclassificeerde en ongeclassificeerde DoD netwerken.
Echter, ondanks al deze vroegere waarschuwingen, het Leger gekocht 195 Lenovo-producten in 2018, op een totaal van slechts onder $werd 268.000, en de Air Force gekocht een andere 1,378 Lenovo-producten voor $1,9 miljoen.
DOD agentschappen zijn het negeren van eerdere waarschuwingen
Het rapport benadrukte dat DOD bureaus hebben vaak genegeerd vorige cyber-security waarschuwingen bij het maken van deze kleine micro-aankopen.
Bijvoorbeeld, in het verslag staat dat Lexmark printers zijn nog steeds beschikbaar voor aankoop door het Navy-Marine Corps Intranet KINDERBEDJES [commercial off-the-shelf] Catalogus en zijn gecertificeerd voor gebruik op de Marine netwerk zoals onlangs in februari 2019 — dit ondanks dat de AMERIKAANSE regering een waarschuwing tegen het gebruik van apparaten van deze leverancier.
De DODIG rapport de schuld van deze problemen op DOD management fouten. Accountants zei de DOD is mislukt om een afdeling voor de ontwikkeling van een strategie voor het beheer van cybersecurity risico ‘ s en die kunnen samen een lijst van goedgekeurde producten die DOD stafleden kon overleggen voordat u aankopen doet.
Accountants zei de DOD geprobeerd om dit te doen in het verleden: namelijk met het Bureau van de Staatssecretaris van Defensie voor Onderzoek en Engineering Gezamenlijke Federatieve Assurance Center — maar het DOD is mislukt om de verlening van de operationele capaciteit, wat betekent dat de instantie alleen op papier bestond.
De DODIG rapport, dat de titel “Audit van de DoD Beheer van de Risico’ s voor Cybersecurity Regering Aankoop Card Aankopen van Commerciële Off-the-Shelf Onderdelen” is een venster in de VS de grootste nationale veiligheid probleem nu — dat is supply chain aanvallen.
De Nationale Contraspionage en Security Center (NCSC), onderdeel van het Kantoor van de Directeur van de National Intelligence, uitgeroepen tot April 2019 als de Nationale Supply Chain Integriteit Maand, in een poging om de overheid en de private sector om hun supply chains, en kennis te nemen van de apparatuur en de software die ze kopen uit ONS bekend tegenstanders, zoals China.
Eerder deze week, twee AMERIKAANSE senatoren hebben ook voorgesteld een tweeledige wetsvoorstel met de naam van de Productie, Investeringen, en de Controles Review voor Computer Hardware, Intellectuele Eigendom en Aanbod (MICROCHIPS) Handelen, in een poging om de AMERIKAANSE regering om een wet voor de oprichting van een nationale agentschap voor het testen van hardware en software dat gaat in de supply chain van de AMERIKAANSE militaire en andere federale agentschappen.
Met politieke spanningen met China op een all-time high, de AMERIKAANSE overheid de ambtenaren vrezen dat een potentieel incident tussen de twee landen kan catastrofale gevolgen hebben op ONS IT-infrastructuur, die nu vol staat met Chinese-en-klare apparatuur.
Bijgewerkt op 4 augustus, 7:30 pm ET, met verklaring van Lexmark.
Verwante regering dekking:
Cisco betalen $8,6 miljoen voor de verkoop van kwetsbare software aan ONS governmentVoter records voor 80% van de chileense bevolking kwetsbaar onlineToo veel mensen aangemeld voor Equifax geld, dus ze zal het krijgen van minder dan $125UK gemaakt van illegale kopieën en slecht management van Schengen reizigers database
DHS) waarschuwt over CAN-bus kwetsbaarheden in kleine aircraftMICROCHIPS Wet wil veilig US govt supply chain tegen de Chinese sabotage
Hoe Estland werd een e-overheid powerhouse TechRepublicSri Lanka blokken van sociale media na de dodelijke Pasen explosies CNET
Verwante Onderwerpen:
Overheid
CXO
Veiligheid
Innovatie
Smart Cities