Комитет Сената США по внутренней безопасности и правительственным делам (Committee on Homeland Security and Governmental Affairs) опубликовал отчёт о проверке систем восьми федеральных агентств. Предыдущая проверка прошла два года назад. Как оказалась, с тех пор мало что изменилось. Только одно ведомство получило хорошую оценку. В остальных случаях эффективность систем оказалась ниже приемлемого уровня, в том числе у Госдепа США.
В прошлом отчёте комитета за 2019 год указано, что в период с 2005 по 2017 год число киберинцидентов в США выросло на 1300 %. Только за 2017 год федеральные агентства сообщили о 35 тысячах кибератаках. В общей сложности комитет проанализировал восемь федеральных агентств, большая часть которых не прошла проверку.
Как выяснил комитет, рост числа взломов напрямую связан с двумя факторами:
Обилие устаревших информационных технологий, которые сложно и дорого защищать;
Нехватка опытного и квалифицированного персонала.
По итогам проверки агентствам дали несколько рекомендаций по улучшению их систем, например, обеспечить плотную работу по набору компетентных IT-специалистов и введение квартальной отчётности по работе систем.
В новом отчёте комитета Сената США специалисты проанализировали методы обеспечения безопасности у тех же агентств, что и в прошлом отчёте. Ведомство изучило их работу за 2020 год. За это время они сообщили о 30819 кибератаках на государственные системы, что на 8 % больше, чем за 2019 год.
По результатам проверки только одно из восьми агентств получило оценку В (четвёрка по российской шкале) за систему безопасности. Три агентства оценили на С и четыре на D, что эквивалентно тройкам в российской шкале.
Самые плохие оценки получили Госдеп США, Министерство транспорта, Министерство образования и Администрация социального обеспечения. Системы этих ведомств оказались наиболее уязвимы перед кибератаками. Немного получше дела обстоят у Министерств сельского хозяйства, здравоохранения и социальных служб и Министерства жилищного строительства и городского развития. Единственным ведомством, получившим положительную оценку, оказалось Министерство внутренней безопасности.
Комитет очень удивился результатам проверки. По их словам, практически все ведомства почти не отреагировали на их рекомендации и внесли минимальные изменения в свои системы. Семь не прошедших проверку агентств всё ещё не поддерживают базовые стандарты кибербезопасности, необходимые для защиты конфиденциальных данных.
В ходе проверки обнаружили те же проблемы, что были озвучены в отчёте в 2019 году. Большая часть проблем была у Госдепа США:
старое программное обеспечение, которое уже не поддерживается вендором;
отсутствие софта, необходимого для обеспечения безопасности;
у 60 % сотрудников, имеющих доступ к секретной информации, не оформлены документы на доступ;
профили уже уволенных сотрудников с допуском к закрытым данным оставались в базе до 152 дней после ухода людей из департамента, из-за чего бывшие сотрудники могли их использовать после увольнения.
Устаревшее программное обеспечение стало единой проблемой практически для всех департаментов. Вдобавок к этому, Администрация социального обеспечения не ввела обязательную авторизацию пользователей в своих информационных системах и не смогла обеспечить достаточный уровень защиты персональных данных. Министерство здравоохранение до сих пор не внедрило систему обнаружения взломов EINSTEIN, хотя его установка стала обязательной ещё пять лет назад. Сотрудник комитета, проверяющий системы безопасности Министерства образования, беспрепятственно добыл и отправил на стороннюю почту базу из двух сотен номеров кредитных карт.
В отчёте указано, что комитет больше не может игнорировать неспособность ведомств адекватно защитить персональные данные граждан США. Он будет усиливать контроль за системами безопасности ведомств. По его словам, неисполнение Федерального закона об управлении информационной безопасностью (Federal Information Security Management Act, FISMA) и рекомендаций прошлого отчёта комитета приводит к удешевлению и упрощению взлома государственных систем, в то время как федеральное правительство должно усложнять и повышать их стоимость.
