Video: Ho INTERVISTATO un HACKER - Come mi hanno HACKERATO (Settembre 2024)
La Commissione elettorale federale è stata colpita da un massiccio attacco informatico poche ore dopo l'inizio della chiusura del governo, secondo un rapporto del Center for Public Integrity. Il rapporto CPI affermava che i cinesi erano dietro "il peggior atto di sabotaggio" nei 38 anni di storia dell'agenzia.
Tre funzionari governativi coinvolti nelle indagini hanno confermato l'attacco all'IPC e la FEC ha riconosciuto l'incidente in una dichiarazione. Tuttavia, il rapporto CPI non ha spiegato il motivo per cui i funzionari credevano che la Cina fosse coinvolta, né ha fornito dettagli sull'intrusione della rete oltre al fatto che gli aggressori hanno arrestato diversi sistemi informatici FEC. Alla richiesta di una dichiarazione, FEC ha rinviato Security Watch al Dipartimento per la sicurezza interna e non ha fornito alcuna informazione.
Il fatto che si sia verificato un attacco durante l'arresto di 16 giorni non dovrebbe essere una grande sorpresa, dal momento che molti esperti di sicurezza avevano avvertito gli aggressori di trarre vantaggio dal fatto che il personale IT venisse a conoscenza per lanciare un attacco. Con meno persone che guardavano le reti, c'erano molte opportunità per gli aggressori. In effetti, la FEC aveva licenziato tutti i 339 dipendenti dell'agenzia poiché nessuno del suo personale era stato ritenuto "necessario per la prevenzione di minacce imminenti" per la proprietà federale, secondo CPI.
" Alto rischio" per intrusioni di rete
Il senno di poi è 20/20, ma l'attacco è avvenuto quasi un anno dopo che un revisore indipendente aveva avvertito la FEC che la sua infrastruttura IT era "ad alto rischio" per l'attacco. Il revisore ha sottolineato che, sebbene la FEC avesse adottato alcune politiche, non erano sufficienti e sono stati necessari interventi immediati per ridurre i rischi. La FEC non era d'accordo con la maggior parte delle raccomandazioni del revisore, sostenendo che i suoi sistemi erano sicuri.
"I sistemi di informazione e informazione della FEC sono ad alto rischio a causa della decisione presa dai funzionari della FEC di non adottare tutti i requisiti minimi di sicurezza adottati dal governo federale", hanno scritto gli auditor di Leon Snead & Company nel novembre 2012.
I problemi includevano password che non erano mai scadute, non erano state modificate dal 2007 o non erano mai state utilizzate per accedere. Gli account disabilitati rimanevano in Active Directory e i laptop rilasciati agli appaltatori utilizzavano la stessa password "facile da indovinare", secondo il rapporto. Anche se la FEC ha richiesto l'autenticazione a due fattori sui propri sistemi informatici, l'audit ha identificato 150 computer che potevano essere utilizzati per connettersi in remoto ai sistemi FEC che non avevano la protezione aggiuntiva abilitata. I revisori hanno inoltre segnalato processi di patch scadenti e software obsoleto.
"I controlli in atto riflettono il livello adeguato di sicurezza e il rischio accettabile per supportare la missione e salvaguardare i dati dell'agenzia", ha dichiarato l'agenzia nella sua risposta al controllo.
Non è chiaro se gli aggressori abbiano approfittato delle password scadenti o di qualsiasi altra questione segnalata nel rapporto durante l'attacco di ottobre. Considerando che l'agenzia ha respinto le critiche contenute nella relazione di revisione, è probabile che molte delle questioni siano rimaste irrisolte a partire da ottobre.
Sicurezza, non regolamenti
L'agenzia doveva adottare i controlli di sicurezza IT NIST in FIPS 200 e SP 800-53 e imporre che tutti gli appaltatori e i fornitori di terze parti seguissero i requisiti indicati nella Legge federale sulla gestione della sicurezza delle informazioni del 2002 (FISMA), hanno affermato i revisori. Gli appaltatori che lavorano con il governo federale devono conformarsi alla FISMA, e solo perché la FEC era esente dalla FISMA non significava che lo fossero gli appaltatori, hanno detto i revisori.
La FEC sembrava prendere decisioni sulla sicurezza IT in base a ciò che l'agenzia è legalmente tenuta a fare, piuttosto che considerare ciò che renderebbe i sistemi di informazione e informazione dell'agenzia più sicuri, secondo il rapporto di audit.
È importante per le organizzazioni rendersi conto che la sicurezza non riguarda solo il controllo di un elenco di linee guida e standard. Gli amministratori devono pensare a ciò che stanno facendo e assicurarsi che le loro azioni siano in linea con le esigenze della propria infrastruttura. La FEC ha insistito sul fatto che avesse messo in atto politiche e linee guida per proteggere i suoi dati e le sue reti, ed era sufficiente perché rispettava una diversa direttiva sulla sicurezza. L'agenzia non si era fermata a valutare se tali controlli e politiche rendessero effettivamente sicura la propria rete.
La cattiva posizione di sicurezza della FEC ha comportato che "la sua rete di computer, i dati e le informazioni sono a maggior rischio di perdita, furto, manipolazione, interruzione delle operazioni e altre azioni avverse", ha avvertito il rapporto.
E restiamo a chiederci cosa hanno fatto gli aggressori che hanno reso l'intrusione il più grande atto di sabotaggio nella storia dell'agenzia e quali altre agenzie potrebbero essere state colpite nello stesso periodo di tempo. Possiamo solo sperare che altre agenzie abbiano svolto un lavoro migliore nel soddisfare gli standard minimi di sicurezza per i propri dati e reti.
