Военные США халатно относятся к вопросам кибербезопасности



    Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще более опасная ситуация — если в руки злоумышленников попадает информация военного характера, например, доступы к каким-либо установкам.

    И эта ситуация может возникнуть в любой момент — во всяком случае, в армии США. Недавно был опубликован отчет по изучению информационной безопасности в войсках этой страны. По мнению проверяющих, ситуация удручающая. Проверяющие выделили 266 рекомендаций по решению проблем, причем некоторые «дыры» существуют с 2008 года.

    Военные «ревизоры» изучили текущую ситуацию, а также отчеты предыдущих лет. Оказалось, что многие проблемы никак не решаются, нет даже попыток что-то улучшить. Ранее Пентагону показали, как можно закрыть 159 различных «дыр» для улучшения системы защиты. Но военные попытались что-то предпринять лишь в 19 случаях из 159.

    Описанные проблемы имеют отношения ко всем видам войск, важность проблем ранжировали от «очень серьезных» до «обычных». К примеру, те войска, которые отвечают за противоракетную оборону США халатно относятся к возможности физического доступа к оборудованию посторонних. Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.

    Специалисты по сетевому оборудованию выполняли ремонтные работы и не уведомили службу безопасности о необходимости закрыть физический доступ к оборудованию после завершения сервисных работ. Кроме того, данные, которые сотрудники военных ведомств передают с компьютера на компьютер при помощи съемных носителей информации, не шифруются. Согласно данным, которые приводят проверяющие, шифруется лишь 1% из общего объема данных, которые предписывается защищать.

    Проблема выявлена во все том же подразделении, которое отвечает за противоракетную оборону страны.

    И если сами военные ведут себя не слишком осторожно, то подрядчики своей халатностью выделяются даже на фоне регулярных войск. Так, из семи подрядчиков пятеро, имеющих доступ к сети с данными по ракетной технической информацией, далеко не всегда используют многофакторную защиту. Подрядчики не выполняют оценку рисков, не шифруют носители информации, используют слабые пароли. Системные администраторы пяти из семи подрядчиков не установили принудительное завершение сессии после 15 минут отсутствия активности, что требуется военными. Получается, что текущая сессия длится сколь угодно долго, пока не отключится сам ПК.

    Более того, различные сети военных до сих пор легкоуязвимы даже для стандартных средств взлома. В октябре заявлялось, что многие системы Пентагона почти открыты для кибератак. Разработчики разного типа вооружений с сетевыми функциями не слишком заботятся о системах безопасности. Вопросам кибербезопасности придается минимальный статус важности при разработке таких систем. Работа над информационной безопасностью систем вооружения ведется спустя рукава, так что в инфраструктуре много слабых мест. К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.

    Отдельно можно упомянуть электронные медицинские карточки пациентов-военных. По словам проверяющих, этот вопрос можно назвать «ночным кошмаром» безопасника. Согласно требованиям, пароли должны быть 15-символьными, с цифрами, символами, буквами верхнего и нижнего регистра. Вместо этого используются простые пароли, которые можно подобрать методом перебора.

    Как и в случае ракетной обороны, в медицине почти ничего не шифруется, взломать такие системы несложно, а медицинские терминалы не запрограммированы на автоматическое завершение сессий.

    Многие проблемы, по мнению проверяющих, связаны с недостатками управления — Пентагон просто не разработал эффективной системы менеджмента вопросами кибербезопасности. Поэтому военные США продолжают сталкиваться со все более изощренными киберугрозами со стороны противников. В частности, это атаки, которые направлены нарушение работы или, частичное или даже полное уничтожение целевых информационных систем.
    Поделиться публикацией

    Комментарии 20

      +6
      Зато любой факап легко списать на хакеров, если вы понимаете о чём я.
        –2
        Не совсем, можете раскрыть поподробнее? Это что-то про забаненных в США ГРУшников, которые постили в твиттере фейкньюс с помощью ботсетей, с целью повлиять на общественное мнение среднестатического американца?
          0
          Поясню: военные США не знают ни о каких хакерах, т.к. FancyBear взламывали только личную почту Хиллари. Те, кого российская пропаганда форсит, как «русских хакеров» с точки зрения США являются двенадцатью ГРУшниками. Фактически, с точки зрения законодательства РФ работа этих «русских хакеров» заключалась в организованных преступлениях против УК РФ 282 в Твиттере и ФБ (Возбуждение ненависти либо вражды), а российская пропаганда пыталась представить их нарушителями УК РФ 272 (Неправомерный доступ к компьютерной информации)
        0
        Вдруг пригодится
          +5
          Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать (в массе). Только автоматические процедуры (сигнализация, защита от дурака и прочее), только бездушная автоматика.
          Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам. Но, как показывает практика различных производств, даже в таком случае со временем все правила замыливаются и рано или поздно допускается ошибка.
          Вывод простой и давно известный: хотите высокой степени надежности, исключите человеческий фактор.
          Любые другие варианты это просто оттягивание неизбежного.
            0
            Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам

            Пока не попадёт.
              +1
              Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать


              Однажды Сисадмин пожаловался Учителю:

              – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

              Инь Фу Во спросил:

              – Сначала скажи, почему они это делают.

              Сисадмин подумал и ответил:

              – Может быть, они не считают пароль ценным?

              – А разве пароль сам по себе ценный?

              – Не сам по себе. Ценна информация, которая под паролем.

              – Для кого она ценна?

              – Для нашего предприятия.

              – А для пользователей?

              – Для пользователей, видимо, нет.

              – Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

              – Что для них ценно? – спросил Сисадмин.

              – Догадайся с трёх раз, – рассмеялся Учитель.

              Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
                +1
                Чтобы сотрудники не знали з/п друг друга — это снова выгодно предприятию, а не сотрудникам.
              –3
              Honeypotы? Оставим приоткрытым серверный шкаф и посмотрим кто туда полезет. Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?
              Запишем данные похожие на секретные на не шифрованный носитель и посмотрим где всплывет эта информация?
              Запишем дезу? А потом всем расскажем где и какие у нас дыры.
              «Потеряем» важную информацию которую легко проверить и которая быстро устаревает, а потом по этому каналу будем сливать серьезную дезу и для поддержания актуальности маловажные истинные факты.
              Вариантов для манипуляций много и почему то я уверен, что их используют на полную катушку.
                0
                Извиняюсь если сорвал кому то «коварный» план. И я забыл, что у военных как класса — иное чувство юмора.
                  +1
                  Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?

                  Ключевое слово здесь "живого". :)

                  +2
                  Зачем вообще безопасность, если есть санкции? )
                    +3
                    К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.

                    установил боец сложный секретный пароль, его убили и оружие превратилось в тыкву.
                      +1
                      Верное решение «ставить сложные секретные пароли» — бойца выводят из строя — «оружие» превращается в тыкву. Если исход столкновения положительный для стороны бойца, то всегда это «оружие» можно доставить и обслужить на своих пунктах. Но при попадании этого «оружия» в руки противника оно не может быть оперативно использовано против стороны бойца. Требуются дополнительные телодвижения с противной стороны, которые явно займут больше времени, чем у владельцев «оружия».
                        +3
                        но и его сослуживец этим оружием оперативно воспользоваться не сможет
                      0
                      Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.

                      вряд ли это можно увязать с кибербезопасностью. Хакер никак не попадет на военный объект физически.
                        +1
                        а вот уборщица или очень широкий рядовой могут на-в этот сервер что-нибудь уронить) всякое бывает. И хана тогда всей обороне.
                        +1
                        Ошибка в названии статьи. Правильней будет так: «Военные США халатно относятся к вопросам кибербезопасности». В принципе, слова «военные» и «кибербезопасность» так же можно убрать. Большинство факапов случается из-за человеческого фактора.
                          +2
                          Точнее название должно быть — военные халатно относятся к своим обязаностям, в том числе в области безопасности
                          В боевом информационном центре корабля (БИЦ, или CIC — Combat Information Center, как называют его американцы) творилась настоящая катастрофа. Контр-адмирал Брайан Форд, проводивший расследование, описывает, что центр был больше похож на студенческое общежитие, а не на отсек боевого корабля. Всюду валялись объедки, грязная одежда и бытовые принадлежности. В помещении стоял запах мочи — оказалось, большинству операторов было лень ходить до гальюна, и они справляли нужду в бутылки из-под газировки, которые потом оставляли под пультами. Доска для оперативной информации была покрыта посторонними надписями и рисунками. Половина оборудования не работала. Пульт одного из радаров, например, был заклеен скотчем, чтобы никто зря не тыкал в кнопки, «потому что он всё равно не включается» — при этом о неисправности радара даже не удосужились доложить куда следует, и сколько времени он пребывал в таком состоянии никто не помнил.

                          Отсюда
                            0
                            Это да, наши ничем не лучше. Жаль рассказать особо ничего нельзя. Ролик про банк и уборщицу это всё хорошо иллюстрирует. С одной стороны — пропуск за неделю заказывать надо и допуск иметь. С другой — тебе могу что-то выслать на почту (через gmail!), если им очень надо чтоб проблема решилась. Такие дела.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое