Video: Inside with Brett Hawke: Michael Klim (Oktober 2024)
Den føderale valgkommisjonen ble rammet av et massivt nettangrep timer etter at regjeringen ble avsluttet, ifølge en rapport fra Center for Public Integrity. KPI-rapporten hevdet kineserne sto bak "den verste sabotasjeakten" i byråets 38 år lange historie.
Tre myndighetspersoner som var involvert i etterforskningen bekreftet angrepet til KPI, og FEC erkjente hendelsen i en uttalelse. KPI-rapporten forklarte imidlertid ikke hvorfor tjenestemennene trodde Kina var involvert, eller ga noen detaljer om nettverksinntrenging utover det faktum at angripere krasjet flere FEC-datasystemer. På spørsmål om en uttalelse henviste FEC Security Watch til Department of Homeland Security og ga ingen informasjon.
At et angrep i løpet av 16-dagers stans skjedde, skulle ikke være en stor overraskelse, siden mange sikkerhetseksperter hadde advart angripere kan dra nytte av at IT-personell ble overhøyd for å sette i gang et angrep. Med færre som så på nettverkene, var det mye mulighet for angripere. Faktisk hadde FEC overskredet alle 339 byråansatte, da ingen av ansatte hadde blitt ansett som "nødvendige for å forhindre overhengende trusler" mot føderal eiendom, ifølge CPI.
" Høy risiko" for nettverksinntrenging
I ettertid er 20/20, men angrepet skjedde nesten et år etter at en uavhengig revisor hadde advart FEC om at IT-infrastrukturen hadde en "høy risiko" for angrep. Revisoren påpekte at selv om FEC hadde noen retningslinjer på plass, var de ikke tilstrekkelige og det ble nødvendig med umiddelbare tiltak for å redusere risikoen. FEC var uenig i flertallet av revisors anbefalinger og argumenterte for at systemene var sikre.
"FECs informasjons- og informasjonssystemer er i høy risiko på grunn av beslutningen tatt av FEC-tjenestemenn om ikke å vedta alle minimumskrav til sikkerhet som den føderale regjeringen har vedtatt, " skrev revisorer fra Leon Snead & Company i november 2012.
Problemene inkluderte passord som aldri gikk ut, ikke hadde blitt endret siden 2007, eller som aldri hadde blitt brukt til å logge på. Deaktiverte kontoer forble i Active Directory og bærbare datamaskiner som ble gitt til entreprenører, brukte det samme "lett gjette" passordet, ifølge rapporten. Selv om FEC krevde tofaktorautentisering på sine datasystemer, identifiserte tilsynet 150 datamaskiner som kunne brukes til ekstern tilkobling til FEC-systemer som ikke har den ekstra beskyttelsen aktivert. Revisorer flagget også dårlige lappeprosesser og utdatert programvare.
"Kontrollene på plass gjenspeiler det passende sikkerhetsnivået og akseptabel risiko for å støtte oppdraget og ivareta dataene fra byrået, " sa byrået i sitt svar på tilsynet.
Det er ikke klart om angriperne utnyttet de dårlige passordene eller noen av de andre sakene som ble flagget i rapporten under angrepet i oktober. Tatt i betraktning at byrået hadde avvist kritikken i tilsynsrapporten, er det sannsynlig at mange av problemene forble uløste fra og med oktober.
Sikkerhet, ikke forskrifter
Byrået trengte å ta i bruk NIST IT-sikkerhetskontroller i FIPS 200 og SP 800-53 og gi mandat til at alle entreprenører og tredjepartsleverandører følger kravene som er skissert i Federal Information Security Management Act of 2002 (FISMA), sa revisorene. Entreprenører som arbeider med den føderale regjeringen, må følge FISMA, og bare fordi FEC var FISMA-fritatt, betydde ikke at entreprenørene var det, sa revisorene.
Det så ut til at FEC tok beslutninger om IT-sikkerhet basert på hva byrået er lovpålagt å gjøre, snarere enn å vurdere hva som vil gjøre byråets informasjons- og informasjonssystemer sikrere, heter det i tilsynsrapporten.
Det er viktig for organisasjoner å innse at sikkerhet ikke bare handler om å sjekke av en liste over retningslinjer og standarder. Administratorer må tenke på hva de gjør og sørge for at handlingene deres er i tråd med det infrastrukturen deres trenger. FEC insisterte på at det hadde retningslinjer og retningslinjer på plass for å beskytte sine data og nettverk, og det var tilstrekkelig fordi det overholdt et annet sikkerhetsdirektiv. Byrået hadde ikke stoppet for å vurdere om de kontrollene og policyene faktisk gjorde nettverket sitt sikkert.
FECs dårlige sikkerhetsholdning betydde at dets "datanettverk, data og informasjon har en økt risiko for tap, tyveri, manipulasjon, avbrudd i operasjoner og andre uheldige handlinger, " advarte rapporten.
Og vi sitter igjen og lurer på hva angriperne gjorde som gjorde innbruddet til den største sabotasjeaksjonen i byråets historie, og hvilke andre byråer kan ha blitt rammet i samme tidsperiode. Vi kan bare håpe andre byråer hadde gjort en bedre jobb med å oppfylle minimumssikkerhetsstandarder for data og nettverk.
