Videó: Epirubicin and cyclophosphamide before docetaxel in early breast cancer (November 2024)
A Szövetségi Választási Bizottságot a kormány leállításának kezdete óta óriási cyber-csapás sújtotta - mondja a Nyilvános Integritás Központ jelentése. A CPI-jelentés szerint a kínaiak az ügynökség 38 éves története során a "legrosszabb szabotázs cselekedetek" mögött álltak.
A vizsgálatban részt vevő három kormánytisztviselő megerősítette a CPI elleni támadást, és a FEC nyilatkozatában elismerte az eseményt. A CPI-jelentés azonban nem magyarázta el, hogy a tisztviselők miért hitték Kína érintettségét, vagy nem részletezte a hálózat behatolását azon túl, hogy a támadók több FEC számítógépes rendszert ütköztek. Amikor nyilatkozatot kértek, az FEC a Security Watch- t a Belbiztonsági Minisztériumhoz irányította, és semmilyen információt nem nyújtott be.
Az a tény, hogy a 16 napos leállítás alatt támadás történt, nem lehet nagy meglepetés, mivel sok biztonsági szakértő figyelmeztette a támadókat, hogy kihasználhatják az informatikai személyzet rájuk eső részét a támadás elindításához. A kevesebb ember figyeli a hálózatokat, és a támadók sok lehetőséget kínáltak. Valójában, a CPI szerint a FEC mind a 339 ügynökségi alkalmazottat elszakította, mivel egyik munkatársát sem tartották szükségesnek a szövetségi vagyon közvetlen fenyegetéseinek megelőzéséhez.
" Magas kockázat" a hálózati behatolásokhoz
Az utólagos látás 20/20, de a támadás csaknem egy évvel történt, miután egy független könyvvizsgáló figyelmeztette a FEC-t, hogy informatikai infrastruktúrája "nagy kockázatnak van kitéve" a támadáshoz. A könyvvizsgáló rámutatott, hogy míg a FEC-nek volt néhány politikája, ezek nem voltak elegendők, és azonnali intézkedésre van szükség a kockázatok csökkentése érdekében. A FEC nem értett egyet a könyvvizsgálói ajánlások többségével, azzal érvelve, hogy rendszerei biztonságosak.
"Az FEC információs és információs rendszerei nagy veszélyben vannak, mivel az FEC tisztviselői úgy döntöttek, hogy nem fogadják el a szövetségi kormány által elfogadott összes minimális biztonsági követelményt" - írta a Leon Snead & Company könyvvizsgálója 2012 novemberében.
A kiadások olyan jelszavakat tartalmaztak, amelyek soha nem jártak le, nem változtak meg 2007 óta, vagy soha nem használták fel a bejelentkezéshez. A letiltott fiókok továbbra is az Active Directory-ban maradtak, és a vállalkozók számára kiadott laptopok ugyanazt a „könnyen kitalálható” jelszót használták, a jelentés szerint. Annak ellenére, hogy a FEC kéttényezős hitelesítést igényelt számítógépes rendszerein, az ellenőrzés 150 számítógépet azonosított, amelyeket távolról lehet csatlakoztatni azon FEC-rendszerekhez, amelyeknél a kiegészítő védelem nem volt engedélyezve. Az auditorok megjelölték a rossz javítási folyamatokat és az elavult szoftvereket is.
"A hatályos ellenőrzések tükrözik a biztonság megfelelő szintjét és az elfogadható kockázatot a misszió támogatása és az ügynökség adatainak védelme érdekében" - mondta az ügynökség az ellenőrzésre adott válaszában.
Nem világos, hogy a támadók kihasználták-e a gyenge jelszavakat, vagy az októberi támadás során a jelentésben megjelölt egyéb problémák valamelyikét. Tekintettel arra, hogy az ügynökség elutasította az ellenőrzési jelentésben szereplő kritikákat, valószínű, hogy sok kérdés október óta nem oldódott meg.
Biztonság, nem előírások
Az ügynökségnek a NIST informatikai biztonsági ellenőrzéseit kellett elfogadnia a FIPS 200 és SP 800-53 formátumban, és megbíznia kellett, hogy minden vállalkozó és harmadik fél szállítója kövesse a 2002. évi Szövetségi Információbiztonsági Menedzsment Törvényben (FISMA) meghatározott követelményeket - mondta az auditorok. A könyvvizsgálók szerint a szövetségi kormánnyal együttműködő vállalkozóknak be kell tartaniuk a FISMA előírásait, és csak azért, mert a FEC FISMA alól mentesült, nem azt jelentették, hogy a vállalkozók is voltak.
Úgy tűnik, hogy a FEC az informatikai biztonsági döntéseket az ügynökségnek törvényes kötelezettségei alapján hozza meg, és nem azon gondolkodik, hogy mi tegye biztonságosabbá az ügynökség információs és információs rendszereit - mondta az ellenőrzési jelentés.
A szervezetek számára fontos, hogy rájöjjenek, hogy a biztonság nem csak az irányelvek és szabványok listájának ellenőrzését jelenti. A rendszergazdáknak gondolniuk kell arra, hogy mit csinálnak, és gondoskodniuk kell arról, hogy tevékenységeik összhangban legyenek az infrastruktúrájukkal. A FEC ragaszkodott ahhoz, hogy politikái és iránymutatásai legyenek érvényben az adatok és a hálózatok védelme érdekében, és ez elegendő volt, mivel megfelel egy másik biztonsági irányelvnek. Az ügynökség nem állt le azon, hogy megvizsgálja, vajon ezek az ellenőrzések és irányelvek valóban biztonságossá tették-e hálózatát.
A FEC gyenge biztonsági testtartása azt jelentette, hogy "számítógépes hálózata, adatai és információi fokozottan veszélybe sodorják az elvesztést, lopást, manipulációt, a műveletek megszakítását és más káros tevékenységeket" - figyelmeztette a jelentés.
És csak azon gondolkodunk, vajon mit csináltak a támadók, amelyek a behatolást az ügynökség történetének legnagyobb szabotázsának tették, és amelyet más ügynökségek szenvedhetnek el ugyanebben az időszakban. Remélhetjük, hogy más ügynökségek jobban teljesítették az adatok és a hálózatok minimális biztonsági előírásainak való megfelelést.
