Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще более опасная ситуация — если в руки злоумышленников попадает информация военного характера, например, доступы к каким-либо установкам.
И эта ситуация может возникнуть в любой момент — во всяком случае, в армии США. Недавно был опубликован отчет по изучению информационной безопасности в войсках этой страны. По мнению проверяющих, ситуация удручающая. Проверяющие выделили 266 рекомендаций по решению проблем, причем некоторые «дыры» существуют с 2008 года.
Военные «ревизоры» изучили текущую ситуацию, а также отчеты предыдущих лет. Оказалось, что многие проблемы никак не решаются, нет даже попыток что-то улучшить. Ранее Пентагону показали, как можно закрыть 159 различных «дыр» для улучшения системы защиты. Но военные попытались что-то предпринять лишь в 19 случаях из 159.
Описанные проблемы имеют отношения ко всем видам войск, важность проблем ранжировали от «очень серьезных» до «обычных». К примеру, те войска, которые отвечают за противоракетную оборону США халатно относятся к возможности физического доступа к оборудованию посторонних. Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.
Специалисты по сетевому оборудованию выполняли ремонтные работы и не уведомили службу безопасности о необходимости закрыть физический доступ к оборудованию после завершения сервисных работ. Кроме того, данные, которые сотрудники военных ведомств передают с компьютера на компьютер при помощи съемных носителей информации, не шифруются. Согласно данным, которые приводят проверяющие, шифруется лишь 1% из общего объема данных, которые предписывается защищать.
Проблема выявлена во все том же подразделении, которое отвечает за противоракетную оборону страны.
И если сами военные ведут себя не слишком осторожно, то подрядчики своей халатностью выделяются даже на фоне регулярных войск. Так, из семи подрядчиков пятеро, имеющих доступ к сети с данными по ракетной технической информацией, далеко не всегда используют многофакторную защиту. Подрядчики не выполняют оценку рисков, не шифруют носители информации, используют слабые пароли. Системные администраторы пяти из семи подрядчиков не установили принудительное завершение сессии после 15 минут отсутствия активности, что требуется военными. Получается, что текущая сессия длится сколь угодно долго, пока не отключится сам ПК.
Более того, различные сети военных до сих пор легкоуязвимы даже для стандартных средств взлома. В октябре заявлялось, что многие системы Пентагона почти открыты для кибератак. Разработчики разного типа вооружений с сетевыми функциями не слишком заботятся о системах безопасности. Вопросам кибербезопасности придается минимальный статус важности при разработке таких систем. Работа над информационной безопасностью систем вооружения ведется спустя рукава, так что в инфраструктуре много слабых мест. К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.
Отдельно можно упомянуть электронные медицинские карточки пациентов-военных. По словам проверяющих, этот вопрос можно назвать «ночным кошмаром» безопасника. Согласно требованиям, пароли должны быть 15-символьными, с цифрами, символами, буквами верхнего и нижнего регистра. Вместо этого используются простые пароли, которые можно подобрать методом перебора.
Как и в случае ракетной обороны, в медицине почти ничего не шифруется, взломать такие системы несложно, а медицинские терминалы не запрограммированы на автоматическое завершение сессий.
Многие проблемы, по мнению проверяющих, связаны с недостатками управления — Пентагон просто не разработал эффективной системы менеджмента вопросами кибербезопасности. Поэтому военные США продолжают сталкиваться со все более изощренными киберугрозами со стороны противников. В частности, это атаки, которые направлены нарушение работы или, частичное или даже полное уничтожение целевых информационных систем.
