Госрегулятор в ходе аудита информационных систем обнаружил на рабочих защищённых и проверенных перед выдачей в эксплуатацию смартфонах сотрудников Пентагона и Министерства обороны США большое количество запрещённых к установке мобильных приложений сторонних разработчиков.
По мнению главного инспектора Министерства обороны США, использование сторонних мобильных приложений на мобильных устройствах для ведения служебной деятельности создаёт большие операционные риски и проблемы кибербезопасности, а также может привести к тому, что пользователи непреднамеренно раскроют конфиденциальную информацию Минобороны разработчикам других стран или совершат внедрение вредоносных программ в информационные системы госведомства.
Эксперты в ходе аудита выяснили, что многие из установленных несанкционированных приложений на смартфонах госсотрудников Пентагона и военных Минобороны США требовали доступ к камере, микрофону, данным GPS, файлам, контактам, а также отсылали техническую информацию об устройстве пользователя разработчикам.
Какие сторонние приложения были обнаружены на смартфонах сотрудников Пентагона и Минобороны США:
- развлекательные приложения, включая стриминговое видео, онлайн-радио и приложения для фэнтези-футбола;
- фитнес-приложения;
- приложения соцсетей с возможностью создавать, редактировать и публиковать видео;
- приложения для управления гражданскими БПЛА китайского производства;
- приложения для онлайн-знакомства, бронирования недвижимостей и ресторанов;
- игры, в том числе детские игры, головоломки и многопользовательские онлайн-игры, ролевые игры;
- приложения для покупок, включая онлайн-аукционы, потребительские бонусные программы и приложения для аренды роскошных яхт;
- приложения для обмена электронными сообщениями, включая приложения с возможностью сквозного шифрования и автоматического удаления сообщений;
- криптовалютные приложения, криптокошельки;
- персональные бизнес-приложения, маркетинговые приложения;
- сторонние приложения для доступа в интернет через VPN;
- приложения для управления принтерами и отправки данных на печать через беспроводное соединение.
В итоге госрегулятор дал рекомендации IT-службе Минобороны США усилить требования к установке сторонних мобильных приложений, полностью запретить использовать непроверенные приложения и сторонние магазины приложений.
В январе госрегулятор в ходе проведения проверки уровня кибербезопасности IT-инфраструктуры Министерства внутренних дел США обнаружил тысячи учётных записей сотрудников с простыми паролями. Самым популярным паролем оказался Password-1234, а у одного из администраторов домена был пароль 0rlando_0000.
Десятка самых популярных паролей сотрудников МВД США.
