هاجم المتسللين الصينيين براز خلال اغلاق الحكومة

تعرضت لجنة الانتخابات الفيدرالية لهجوم عبر الإنترنت بعد ساعات من بدء الإغلاق الحكومي ، وفقًا لتقرير صادر عن مركز النزاهة العامة. زعم تقرير مؤشر أسعار المستهلك أن الصينيين كانوا وراء "أسوأ أعمال التخريب" في تاريخ الوكالة البالغ 38 عامًا.

وأكد ثلاثة مسؤولين حكوميين شاركوا في التحقيق الهجوم على CPI ، واعترفت FEC بالحادث في بيان. ومع ذلك ، لم يوضح تقرير CPI سبب اعتقاد المسؤولين أن الصين متورطة ، أو تقديم أي تفاصيل عن اقتحام الشبكة إلى جانب حقيقة أن المهاجمين تحطمت العديد من أنظمة الكمبيوتر FEC. عند طلب بيان ، أحالت FEC Security Watch إلى وزارة الأمن الداخلي ولم تقدم أي معلومات.

لا ينبغي أن يكون وقوع هجوم أثناء الإغلاق الذي دام 16 يومًا مفاجأة كبيرة ، لأن العديد من خبراء الأمن حذروا من أن المهاجمين قد يستفيدون من إقصاء موظفي تكنولوجيا المعلومات لشن هجوم. مع انخفاض عدد الأشخاص الذين يشاهدون الشبكات ، كانت هناك فرصة كبيرة للمهاجمين. في الواقع ، لقد استعانت لجنة الانتخابات الفيدرالية بجميع موظفي الوكالة البالغ عددهم 339 ، حيث لم يعد أي من موظفيها "ضروريًا لمنع التهديدات الوشيكة" للممتلكات الفيدرالية ، وفقًا لمؤشر أسعار المستهلك.

" عالية المخاطر" لاقتحام الشبكة

Hindsight هو 20/20 ، لكن الهجوم وقع بعد عام تقريبًا بعد أن حذر مدقق حسابات مستقل لجنة FEC من أن البنية التحتية لتكنولوجيا المعلومات لديها كانت "عالية الخطورة" للهجوم. أشار المدقق إلى أنه على الرغم من أن لدى FEC بعض السياسات المعمول بها ، إلا أنها لم تكن كافية ولم تكن هناك حاجة لاتخاذ إجراءات فورية للحد من المخاطر. عارضت لجنة الانتخابات الفيدرالية غالبية توصيات المراجع ، قائلة إن أنظمتها كانت آمنة.

كتب مدققو الحسابات من Leon Snead & Company في نوفمبر / تشرين الثاني 2012: "نظم المعلومات والمعلومات في FEC معرضة لخطر كبير بسبب القرار الذي اتخذه مسؤولو FEC بعدم تبني جميع متطلبات الأمان الدنيا التي اعتمدتها الحكومة الفيدرالية".

تضمنت المشكلات كلمات مرور لم تنتهي صلاحيتها أبدًا ، أو لم يتم تغييرها منذ عام 2007 ، أو لم يتم استخدامها مطلقًا لتسجيل الدخول. بقيت الحسابات المعطلة في Active Directory ، وتستخدم أجهزة الكمبيوتر المحمولة الصادرة إلى المقاولين نفس كلمة المرور "يسهل تخمينها" ، وفقًا للتقرير. على الرغم من أن FEC تطلب مصادقة ثنائية على أنظمة الكمبيوتر الخاصة بها ، فقد حدد التدقيق 150 جهاز كمبيوتر يمكن استخدامها للاتصال عن بعد بأنظمة FEC التي لم يتم تمكين الحماية الإضافية بها. كما حدد المراجعون عمليات الترقيع الضعيفة والبرامج القديمة.

وقالت الوكالة في ردها على المراجعة "تعكس الضوابط المطبقة المستوى المناسب من الأمن والمخاطر المقبولة لدعم المهمة وحماية بيانات الوكالة."

ليس من الواضح ما إذا كان المهاجمون قد استغلوا كلمات المرور الضعيفة أو أي من المشكلات الأخرى التي تم الإبلاغ عنها في التقرير أثناء هجوم أكتوبر. بالنظر إلى أن الوكالة قد رفضت الانتقادات في تقرير التدقيق ، فمن المحتمل أن تظل العديد من القضايا دون حل حتى أكتوبر.

الأمن ، وليس اللوائح

وقال مدققو الحسابات إن الوكالة بحاجة إلى تبني ضوابط أمان NIST IT في FIPS 200 و SP 800-53 وتفويض جميع المقاولين ومقدمي الطرف الثالث باتباع المتطلبات المحددة في قانون إدارة أمن المعلومات الفيدرالي لعام 2002 (FISMA). يجب على المقاولين الذين يعملون مع الحكومة الفيدرالية الامتثال لـ FISMA ، ولأن FEC كانت معفاة من FISMA ، فلم يكن هذا يعني أن المقاولين كانوا ، كما قال المدققون.

وقال تقرير التدقيق: يبدو أن FEC تتخذ قرارات تتعلق بأمن تكنولوجيا المعلومات بناءً على ما يتعين على الوكالة القيام به قانونيًا ، بدلاً من النظر في ما يجعل أنظمة المعلومات والبيانات الخاصة بالوكالة أكثر أمانًا.

من المهم أن تدرك المؤسسات أن الأمان لا يقتصر فقط على التحقق من قائمة الإرشادات والمعايير. يجب على المسؤولين التفكير فيما يقومون به والتأكد من أن تصرفاتهم تتوافق مع احتياجات البنية الأساسية الخاصة بهم. أصرت لجنة الانتخابات الفيدرالية على أن لديها سياسات ومبادئ توجيهية لحماية بياناتها وشبكاتها ، وكانت كافية لأنها امتثلت لتوجيه أمني مختلف. لم تتوقف الوكالة عن النظر فيما إذا كانت هذه الضوابط والسياسات جعلت شبكتها آمنة بالفعل.

وحذر التقرير من أن الموقف الأمني ​​السيئ لدى FEC يعني أن "شبكة الكمبيوتر والبيانات والمعلومات لديها معرضة بشكل متزايد لخطر الخسارة والسرقة والتلاعب ووقف العمليات وغيرها من الإجراءات الضارة".

وقد تركنا نتساءل عما فعله المهاجمون الذي جعل من الاقتحام أكبر عمل تخريبي في تاريخ الوكالة ، وأي وكالات أخرى قد حصلت على ضرب خلال نفس الفترة الزمنية. لا يمكننا إلا أن نأمل من الوكالات الأخرى أن تقوم بعمل أفضل في تلبية معايير الأمان الدنيا لبياناتها وشبكاتها.