Американским федеральным ведомствам не хватило года на то, чтобы хоть как-то повлиять на ужасающее положение дел с собственной устойчивостью к киберугрозам. Ответственные за международные отношения, транспорт, сельское хозяйство, здравоохранение и пр. агенства по-прежнему страдают от проблем в сфере информационной безопасности более чем десятилетней давности. Только Министерство внутренней безопасности, получившее в 2020 г. $1 млрд из бюджета на укрепление киберзащиты, значительно улучшило свои показатели.
Прогресс практически незаметен
Кибербезопасность в половине из восьми федеральных агентствах США находится на катастрофическом уровне. Об этом свидетельствуют данные отчета “America’s Data still at Risk”, опубликованного во вторник, 3 августа 2021 г., Комитетом Сената по внутренней безопасности и правительственным делам.
Согласно материалам отчета, усилия по обеспечению информационной безопасности четырех из восьми проверенных американских ведомств были оценены аудиторами как неудовлетворительные, еще три сработали «на троечку» и лишь одно правительственное агентство смогло порадовать инспекторов.
Проверку инспекции прошли Государственный департамент (аналог МИДа), Министерства транспорта, образования, сельского хозяйства, здравоохранения, жилищного строительства и городского развития, внутренней безопасности, а также Управление социального обеспечения. Уровень кибербезопасности эксперты оценивали по шкале от F до A, где A – максимально высокий балл.
Публикации отчета предшествовала серия атак на инфраструктуру органов власти США через уязвимости в цепочке поставок. В частности, в декабре 2020 г. были взломаны Минфин и Минторг США. Американские власти и пресса считают, что к инциденту причастна хакерская группировка APT29 (Cozy Bear), которой приписывают связь с российской Службой внешней разведки (СВР).
Всего в 2020 г. Белый дом сообщил о более чем 30 тыс. ИБ-инцидентов, затронувших федеральные структуры. Это что на 8% больше, нежели годом ранее.
Результаты проверки
Худшие результаты продемонстрировали Госдеп, Министерство образования, Министерство транспорта и Управление соцобеспечения – они получили самую низкую оценку (D). Оценку C заработали Министерства сельского хозяйства, жилстроительства и здравоохранения.
Министерство внутренней безопасности, по мнению инспекторов, единственное заслужило оценку B, продемонстрировав значительный прогресс по сравнению с 2019 г. Остальные смогли добиться лишь незначительного улучшения ситуации, уровень кибербезопасности в данных структурах «по-прежнему не соответствует базовым стандартам», говорится в отчете.
Основные проблемы, выявленные инспекторами
Аудит информационной безопасности показал, что, Госдепартамент, в частности, использует устаревшее программное обеспечение, в том числе операционную систему Microsoft Windows, которое более не поддерживается вендором. Кроме того, ответственные за работу информационных систем ведомства не сумели обеспечить своевременную установку патчей безопасности.
Система управления пользователями Госдепа подверглась особой критике проверяющих, так как около 60% сотрудников, имеющих доступ к закрытому сегменту сети ведомства, не подписали документы, регламентирующие правила пользования им. В то же самое время, как отмечается в отчете, закрытая сеть Госдепа содержит данные, раскрытие которых неуполномоченным лицам может нанести «огромный ущерб» национальной безопасности США.
Серьезную озабоченность проверяющих также вызвал тот факт, что внешнеполитическое ведомство халатно относилось к деактивации учетных записей бывших работников, имевших доступ к закрытому сегменту сети. Некоторые из тысяч заброшенных аккаунтов были отключены лишь спустя почти полгода после увольнения их экс-владельцев. По мнению авторов отчета, такие забытые учетные записи могут быть злонамеренно использованы хакерами и самими бывшими работниками.
Администрация социального обеспечения отметилась букетом во многом похожих проблем: использование устаревшего софта, отсутствие механизмов авторизации в информационных системах, неспособность обеспечить надлежащую защиту персональных данных. Стоит отметить, что отказ от своевременного обновления ПО характерен для практически всех подвергшихся аудиту федеральных агентств США – этим грешат семь из восьми ведомств.
Ритейл
В Минтранспорта проверяющие обнаружили почти 15 тыс. единиц элементов ИТ-инфраструктуры, принадлежащих ведомству, но не поставленных на учет. Среди них – около 7,2 тыс. мобильных устройств, 4,8 тыс. серверов, 2,9 тыс. рабочих станций.
Проверка показала, что две подведомственных структуры Министерства здравоохранения так и не сумели внедрить систему обнаружения кибервторжений “EINSTEIN”. По американским законам ее использование уже пять лет как является обязательным.
В ходе исследования защищенности инфраструктуры Министерства образования инспектору удалось без особого труда отправить на внешний адрес электронной почты файл, содержащий две сотни номеров кредитных карт, хотя внутренние политики организации должны блокировать подобные операции.
Благодаря аудиту также выяснилось, что сразу несколько публичных веб-сайтов, принадлежащих Министерству сельского хозяйства, содержат ряд опасных уязвимостей. Работникам госструктуры об этом ничего не было известно.
Результаты предыдущего аудита
В 2019 г. комиссией при Сенате был представлен аналогичный отчет, охвативший период с 2008 по 2018 г. и затронувший все те же восемь агентств.
Тогда проверка показала, что из указанных структур семь не смогли обеспечить адекватную защиту персональных данных, шесть не установили вовремя необходимые системные патчи против уязвимостей. Восемь министерств использовали унаследованные системы, которые больше не поддерживаются производителями.
Министерства национальной безопасности, транспорта, сельского хозяйства, здравоохранения и социальных служб не ликвидировали уязвимости, найденные более десяти лет назад. В сетях Управления социального обеспечения были обнаружены критические уязвимости, через которые можно было получить доступ к персональным данным более чем 60 млн американцев.
Министерство образования с 2011 г. не могло закрыть для неавторизованных устройств доступ в свои сети. Все, что он сумело сделать – это ограничить время пребывания таких устройств в сети до 90 секунд.
Как писал CNews, в 2020 г. Министерство национальной безопасности по плану должно был получить на укрепление киберзащиты более $1 млрд.