Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще более опасная ситуация — если в руки злоумышленников попадает информация военного характера, например, доступы к каким-либо установкам.
И эта ситуация может возникнуть в любой момент — во всяком случае, в армии США. Недавно был опубликован отчет по изучению информационной безопасности в войсках этой страны. По мнению проверяющих, ситуация удручающая. Проверяющие выделили 266 рекомендаций по решению проблем, причем некоторые «дыры» существуют с 2008 года.
Военные «ревизоры» изучили текущую ситуацию, а также отчеты предыдущих лет. Оказалось, что многие проблемы никак не решаются, нет даже попыток что-то улучшить. Ранее Пентагону показали, как можно закрыть 159 различных «дыр» для улучшения системы защиты. Но военные попытались что-то предпринять лишь в 19 случаях из 159.
Описанные проблемы имеют отношения ко всем видам войск, важность проблем ранжировали от «очень серьезных» до «обычных». К примеру, те войска, которые отвечают за противоракетную оборону США халатно относятся к возможности физического доступа к оборудованию посторонних. Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.
Специалисты по сетевому оборудованию выполняли ремонтные работы и не уведомили службу безопасности о необходимости закрыть физический доступ к оборудованию после завершения сервисных работ. Кроме того, данные, которые сотрудники военных ведомств передают с компьютера на компьютер при помощи съемных носителей информации, не шифруются. Согласно данным, которые приводят проверяющие, шифруется лишь 1% из общего объема данных, которые предписывается защищать.
Проблема выявлена во все том же подразделении, которое отвечает за противоракетную оборону страны.
И если сами военные ведут себя не слишком осторожно, то подрядчики своей халатностью выделяются даже на фоне регулярных войск. Так, из семи подрядчиков пятеро, имеющих доступ к сети с данными по ракетной технической информацией, далеко не всегда используют многофакторную защиту. Подрядчики не выполняют оценку рисков, не шифруют носители информации, используют слабые пароли. Системные администраторы пяти из семи подрядчиков не установили принудительное завершение сессии после 15 минут отсутствия активности, что требуется военными. Получается, что текущая сессия длится сколь угодно долго, пока не отключится сам ПК.
Более того, различные сети военных до сих пор легкоуязвимы даже для стандартных средств взлома. В октябре заявлялось, что многие системы Пентагона почти открыты для кибератак. Разработчики разного типа вооружений с сетевыми функциями не слишком заботятся о системах безопасности. Вопросам кибербезопасности придается минимальный статус важности при разработке таких систем. Работа над информационной безопасностью систем вооружения ведется спустя рукава, так что в инфраструктуре много слабых мест. К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.
Отдельно можно упомянуть электронные медицинские карточки пациентов-военных. По словам проверяющих, этот вопрос можно назвать «ночным кошмаром» безопасника. Согласно требованиям, пароли должны быть 15-символьными, с цифрами, символами, буквами верхнего и нижнего регистра. Вместо этого используются простые пароли, которые можно подобрать методом перебора.
Как и в случае ракетной обороны, в медицине почти ничего не шифруется, взломать такие системы несложно, а медицинские терминалы не запрограммированы на автоматическое завершение сессий.
Многие проблемы, по мнению проверяющих, связаны с недостатками управления — Пентагон просто не разработал эффективной системы менеджмента вопросами кибербезопасности. Поэтому военные США продолжают сталкиваться со все более изощренными киберугрозами со стороны противников. В частности, это атаки, которые направлены нарушение работы или, частичное или даже полное уничтожение целевых информационных систем.
Комментарии (17)
coramba
16.01.2019 20:40Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать (в массе). Только автоматические процедуры (сигнализация, защита от дурака и прочее), только бездушная автоматика.
Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам. Но, как показывает практика различных производств, даже в таком случае со временем все правила замыливаются и рано или поздно допускается ошибка.
Вывод простой и давно известный: хотите высокой степени надежности, исключите человеческий фактор.
Любые другие варианты это просто оттягивание неизбежного.
Dee3
17.01.2019 00:03Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам
Пока не попадёт.
Wesha
17.01.2019 02:05Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
GokenTanmay
16.01.2019 20:58Honeypotы? Оставим приоткрытым серверный шкаф и посмотрим кто туда полезет. Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?
Запишем данные похожие на секретные на не шифрованный носитель и посмотрим где всплывет эта информация?
Запишем дезу? А потом всем расскажем где и какие у нас дыры.
«Потеряем» важную информацию которую легко проверить и которая быстро устаревает, а потом по этому каналу будем сливать серьезную дезу и для поддержания актуальности маловажные истинные факты.
Вариантов для манипуляций много и почему то я уверен, что их используют на полную катушку.GokenTanmay
17.01.2019 08:28Извиняюсь если сорвал кому то «коварный» план. И я забыл, что у военных как класса — иное чувство юмора.
Wesha
17.01.2019 23:31Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?
Ключевое слово здесь "живого". :)
Skycaptain
17.01.2019 06:47К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.
установил боец сложный секретный пароль, его убили и оружие превратилось в тыкву.GokenTanmay
17.01.2019 08:36Верное решение «ставить сложные секретные пароли» — бойца выводят из строя — «оружие» превращается в тыкву. Если исход столкновения положительный для стороны бойца, то всегда это «оружие» можно доставить и обслужить на своих пунктах. Но при попадании этого «оружия» в руки противника оно не может быть оперативно использовано против стороны бойца. Требуются дополнительные телодвижения с противной стороны, которые явно займут больше времени, чем у владельцев «оружия»/защиты.
cerrenesi
17.01.2019 09:38Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.
вряд ли это можно увязать с кибербезопасностью. Хакер никак не попадет на военный объект физически.Kate1313
17.01.2019 09:54а вот уборщица или очень широкий рядовой могут на-в этот сервер что-нибудь уронить) всякое бывает. И хана тогда всей обороне.
ua30
17.01.2019 10:54Ошибка в названии статьи. Правильней будет так: «Военные
СШАхалатно относятся к вопросам кибербезопасности». В принципе, слова «военные» и «кибербезопасность» так же можно убрать. Большинство факапов случается из-за человеческого фактора.teecat
17.01.2019 13:01Точнее название должно быть — военные халатно относятся к своим обязаностям, в том числе в области безопасности
В боевом информационном центре корабля (БИЦ, или CIC — Combat Information Center, как называют его американцы) творилась настоящая катастрофа. Контр-адмирал Брайан Форд, проводивший расследование, описывает, что центр был больше похож на студенческое общежитие, а не на отсек боевого корабля. Всюду валялись объедки, грязная одежда и бытовые принадлежности. В помещении стоял запах мочи — оказалось, большинству операторов было лень ходить до гальюна, и они справляли нужду в бутылки из-под газировки, которые потом оставляли под пультами. Доска для оперативной информации была покрыта посторонними надписями и рисунками. Половина оборудования не работала. Пульт одного из радаров, например, был заклеен скотчем, чтобы никто зря не тыкал в кнопки, «потому что он всё равно не включается» — при этом о неисправности радара даже не удосужились доложить куда следует, и сколько времени он пребывал в таком состоянии никто не помнил.
Отсюда
LumberJack
Зато любой факап легко списать на хакеров, если вы понимаете о чём я.
keydet
Не совсем, можете раскрыть поподробнее? Это что-то про забаненных в США ГРУшников, которые постили в твиттере фейкньюс с помощью ботсетей, с целью повлиять на общественное мнение среднестатического американца?