Uwaga TN: Nieostrożne obchodzenie się z danymi przez rzekomych „ekspertów” zostało ujawnione, ale prawie nie zostało naprawione. Wycieki danych (tj. Hakerzy) nie są głównym zmartwieniem technokratów, ponieważ bez względu na to, co wyciekło niewielka część, twierdzą, że nadal mają oryginalne całe dane, które można przeanalizować tylko samodzielnie.
Departament Bezpieczeństwa Wewnętrznego prowadzi setki poufnych i ściśle tajnych baz danych bez odpowiedniego upoważnienia, co sprawia, że agencja nie jest pewna, czy może „chronić poufne informacje” przed cyberatakami.
An Audyt opublikowany publicznie w czwartek przez generalnego inspektora wykrył wiele słabych punktów w programach bezpieczeństwa informacji agencji.
W szczególności dział obsługuje systemy „wrażliwe, ale niesklasyfikowane” 136, „tajne” i „ściśle tajne” z „wygasłymi uprawnieniami do działania”.
„Począwszy od czerwca 2015, DHS miał systemy 17 sklasyfikowane jako„ Tajne ”lub„ Ściśle tajne ”działające bez ATO [upoważnione do obsługi]” - powiedział generalny inspektor. „Bez ATO DHS nie może zapewnić, że jego systemy są odpowiednio zabezpieczone, aby chronić wrażliwe informacje przechowywane i przetwarzane w nich.”
Na czele agencji prowadzących niezabezpieczone bazy danych była Straż Przybrzeżna z 26, a następnie Federalna Agencja Zarządzania Kryzysowego z 25 oraz Urząd Celny i Ochrona Granic z 14.
Centrala Departamentu Bezpieczeństwa Wewnętrznego obsługuje 11, a Administracja Bezpieczeństwa Transportu obsługuje wrażliwe lub tajne systemy 10 z wygasłymi uprawnieniami.
Kontrola wykazała również, że brakowało poprawek bezpieczeństwa dla komputerów, przeglądarek internetowych i baz danych, a słabe hasła narażały na szwank bezpieczeństwo informacji agencji.
„Znaleźliśmy dodatkowe luki w zabezpieczeniach dotyczące programów Adobe Acrobat, Adobe Reader i Oracle Java na stacjach roboczych Windows 7”, powiedział inspektor generalny. „Jeśli zostaną wykorzystane, te luki mogą umożliwić nieautoryzowany dostęp do danych DHS.”
Przegląd, który został upoważniony przez federalną ustawę o modernizacji bezpieczeństwa informacji 2014, wykazał, że wewnętrzne strony internetowe są również podatne na ataki typu „clickjacking” oraz „luki w witrynach i ramkach”.
„Luki w zabezpieczeniach skryptów między witrynami i ramkami umożliwiają atakującym wstrzykiwanie złośliwego kodu do witryn, które w przeciwnym razie byłyby szkodliwe” - powiedział inspektor generalny. „Atak typu„ clickjacking ”wprowadza ofiarę w interakcję z określonymi elementami docelowej strony internetowej bez wiedzy użytkownika, wykonując uprzywilejowane funkcje w imieniu ofiary.”
wpDiscuz