Китайските хакери атакуваха фека по време на изключването от правителството

Федералната избирателна комисия беше ударена от масивна кибератака часове след спирането на правителството, сочи доклад на Центъра за обществена интегритет. Докладът за CPI твърди, че китайците стоят зад „най-лошия акт на саботаж“ в 38-годишната история на агенцията.

Трима правителствени служители, участващи в разследването, потвърдиха атаката пред CPI, а FEC призна инцидента в изявление. Докладът на CPI обаче не обясни защо служителите смятат, че Китай е замесен, или не предоставят подробности за нахлуването в мрежата извън факта, че нападателите разбиха няколко компютърни системи на FEC. Когато беше помолен за изявление, FEC насочи Security Watch към Министерството на вътрешната сигурност и не предостави никаква информация.

Фактът, че нападение по време на 16-дневното затваряне не трябва да бъде голяма изненада, тъй като много експерти по сигурността предупредиха, че нападателите могат да се възползват от ИТ персонал, който е разпален, за да започне атака. С по-малко хора, които наблюдават мрежите, имаше много възможности за нападателите. В действителност, FEC разгърна всички 339 служители на агенцията, тъй като никой от нейните служители не се счита за „необходим за предотвратяване на непосредствени заплахи“ за федералната собственост, според CPI.

" Висок риск" за мрежови прониквания

Задницата е 20/20, но атаката се случи почти година, след като независим одитор беше предупредил FEC, че нейната ИТ инфраструктура е изложена на "висок риск" за атака. Одиторът посочи, че макар да има някои политики на FEC, те не са достатъчни и са необходими незабавни действия за намаляване на рисковете. FEC не беше съгласна с по-голямата част от препоръките на одитора, твърдейки, че системите му са защитени.

"Информационните и информационните системи на FEC са изложени на висок риск заради решението, взето от служителите на FEC да не приемат всички минимални изисквания за сигурност, които Федералното правителство е приело", пишат през ноември 2012 г. одитори от Leon Snead & Company.

Проблемите включват пароли, които никога не са изтекли, не са били променяни от 2007 г. или никога не са били използвани за влизане. Деактивираните акаунти остават в Active Directory, а лаптопите, издадени на контрагенти, използват същата парола, лесно се предполага, според доклада. Въпреки че FEC изискваше двуфакторно удостоверяване на своите компютърни системи, одитът идентифицира 150 компютъра, които биха могли да се използват за отдалечено свързване към системи на FEC, които не са активирани допълнителната защита. Одиторите също отбелязват лоши процеси на кръпка и остарял софтуер.

„Въведеният контрол отразява подходящото ниво на сигурност и приемлив риск за подпомагане на мисията и защита на данните на агенцията“, заяви агенцията в отговора си на одита.

Не е ясно дали нападателите са се възползвали от лошите пароли или някой от другите проблеми, отбелязани в отчета по време на атаката през октомври. Като се има предвид, че агенцията е отхвърлила критиките в одитния доклад, вероятно много от въпросите са останали нерешени до октомври.

Сигурност, а не правила

Агенцията трябваше да приеме контрол на сигурността на информационната сигурност в NIST в FIPS 200 и SP 800-53 и да възложи на всички изпълнители и доставчици на трети страни да спазват изискванията, очертани във Федералния закон за управление на информационната сигурност от 2002 г. (FISMA), заявиха одиторите. Изпълнителите, работещи с федералното правителство, трябва да се съобразят с FISMA и това, че FEC е освободена от FISMA, не означава, че изпълнителите са, казаха одиторите.

Изглежда, че FEC взима решения за ИТ сигурността въз основа на това, което агенцията е законно задължена да направи, вместо да обмисля какво би направило информационните и информационните системи на агенцията по-сигурни, се казва в одитния доклад.

Важно е организациите да осъзнаят, че сигурността не е само проверка на списък с насоки и стандарти. Администраторите трябва да помислят какво правят и да се уверят, че действията им са в съответствие с нуждите на тяхната инфраструктура. FEC настояваше, че има политики и насоки за защита на своите данни и мрежи и това беше достатъчно, защото спазваше различна директива за сигурност. Агенцията не се спираше да разгледа дали тези контроли и политики действително са направили защитата на мрежата.

Лошата позиция за сигурност на FEC означаваше, че "компютърната му мрежа, данни и информация е с повишен риск от загуба, кражба, манипулация, прекъсване на операции и други неблагоприятни действия", предупреждава докладът.

И не се чудим какво са направили нападателите, които са направили нахлуването най-големият акт на саботаж в историята на агенцията и кои други агенции може би са били ударени през същия период. Можем само да се надяваме, че други агенции са се справили по-добре с изпълнението на минималните стандарти за сигурност на своите данни и мрежи.