Кибербезопасность — одна из наиболее важных сфер современности. Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Еще более опасная ситуация — если в руки злоумышленников попадает информация военного характера, например, доступы к каким-либо установкам.

И эта ситуация может возникнуть в любой момент — во всяком случае, в армии США. Недавно был опубликован отчет по изучению информационной безопасности в войсках этой страны. По мнению проверяющих, ситуация удручающая. Проверяющие выделили 266 рекомендаций по решению проблем, причем некоторые «дыры» существуют с 2008 года.

Военные «ревизоры» изучили текущую ситуацию, а также отчеты предыдущих лет. Оказалось, что многие проблемы никак не решаются, нет даже попыток что-то улучшить. Ранее Пентагону показали, как можно закрыть 159 различных «дыр» для улучшения системы защиты. Но военные попытались что-то предпринять лишь в 19 случаях из 159.

Описанные проблемы имеют отношения ко всем видам войск, важность проблем ранжировали от «очень серьезных» до «обычных». К примеру, те войска, которые отвечают за противоракетную оборону США халатно относятся к возможности физического доступа к оборудованию посторонних. Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.

Специалисты по сетевому оборудованию выполняли ремонтные работы и не уведомили службу безопасности о необходимости закрыть физический доступ к оборудованию после завершения сервисных работ. Кроме того, данные, которые сотрудники военных ведомств передают с компьютера на компьютер при помощи съемных носителей информации, не шифруются. Согласно данным, которые приводят проверяющие, шифруется лишь 1% из общего объема данных, которые предписывается защищать.

Проблема выявлена во все том же подразделении, которое отвечает за противоракетную оборону страны.

И если сами военные ведут себя не слишком осторожно, то подрядчики своей халатностью выделяются даже на фоне регулярных войск. Так, из семи подрядчиков пятеро, имеющих доступ к сети с данными по ракетной технической информацией, далеко не всегда используют многофакторную защиту. Подрядчики не выполняют оценку рисков, не шифруют носители информации, используют слабые пароли. Системные администраторы пяти из семи подрядчиков не установили принудительное завершение сессии после 15 минут отсутствия активности, что требуется военными. Получается, что текущая сессия длится сколь угодно долго, пока не отключится сам ПК.

Более того, различные сети военных до сих пор легкоуязвимы даже для стандартных средств взлома. В октябре заявлялось, что многие системы Пентагона почти открыты для кибератак. Разработчики разного типа вооружений с сетевыми функциями не слишком заботятся о системах безопасности. Вопросам кибербезопасности придается минимальный статус важности при разработке таких систем. Работа над информационной безопасностью систем вооружения ведется спустя рукава, так что в инфраструктуре много слабых мест. К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.

Отдельно можно упомянуть электронные медицинские карточки пациентов-военных. По словам проверяющих, этот вопрос можно назвать «ночным кошмаром» безопасника. Согласно требованиям, пароли должны быть 15-символьными, с цифрами, символами, буквами верхнего и нижнего регистра. Вместо этого используются простые пароли, которые можно подобрать методом перебора.

Как и в случае ракетной обороны, в медицине почти ничего не шифруется, взломать такие системы несложно, а медицинские терминалы не запрограммированы на автоматическое завершение сессий.

Многие проблемы, по мнению проверяющих, связаны с недостатками управления — Пентагон просто не разработал эффективной системы менеджмента вопросами кибербезопасности. Поэтому военные США продолжают сталкиваться со все более изощренными киберугрозами со стороны противников. В частности, это атаки, которые направлены нарушение работы или, частичное или даже полное уничтожение целевых информационных систем.

Комментарии (17)


  1. LumberJack
    16.01.2019 18:11
    +1

    Зато любой факап легко списать на хакеров, если вы понимаете о чём я.


    1. keydet
      17.01.2019 16:45

      Не совсем, можете раскрыть поподробнее? Это что-то про забаненных в США ГРУшников, которые постили в твиттере фейкньюс с помощью ботсетей, с целью повлиять на общественное мнение среднестатического американца?


  1. gnomeby
    16.01.2019 18:38

    Вдруг пригодится


  1. coramba
    16.01.2019 20:40

    Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать (в массе). Только автоматические процедуры (сигнализация, защита от дурака и прочее), только бездушная автоматика.
    Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам. Но, как показывает практика различных производств, даже в таком случае со временем все правила замыливаются и рано или поздно допускается ошибка.
    Вывод простой и давно известный: хотите высокой степени надежности, исключите человеческий фактор.
    Любые другие варианты это просто оттягивание неизбежного.


    1. Dee3
      17.01.2019 00:03

      Пока, простите, яйцо человека не рискует попасть под пресс, он будет очень спокойно относиться к любым правилам

      Пока не попадёт.


    1. Wesha
      17.01.2019 02:05

      Если у человека нет личной заинтересованности поддерживать безопасность, то никакие трейнинги и никакие рекомендации не будут работать


      Однажды Сисадмин пожаловался Учителю:

      – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

      Инь Фу Во спросил:

      – Сначала скажи, почему они это делают.

      Сисадмин подумал и ответил:

      – Может быть, они не считают пароль ценным?

      – А разве пароль сам по себе ценный?

      – Не сам по себе. Ценна информация, которая под паролем.

      – Для кого она ценна?

      – Для нашего предприятия.

      – А для пользователей?

      – Для пользователей, видимо, нет.

      – Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

      – Что для них ценно? – спросил Сисадмин.

      – Догадайся с трёх раз, – рассмеялся Учитель.

      Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.


  1. GokenTanmay
    16.01.2019 20:58

    Honeypotы? Оставим приоткрытым серверный шкаф и посмотрим кто туда полезет. Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?
    Запишем данные похожие на секретные на не шифрованный носитель и посмотрим где всплывет эта информация?
    Запишем дезу? А потом всем расскажем где и какие у нас дыры.
    «Потеряем» важную информацию которую легко проверить и которая быстро устаревает, а потом по этому каналу будем сливать серьезную дезу и для поддержания актуальности маловажные истинные факты.
    Вариантов для манипуляций много и почему то я уверен, что их используют на полную катушку.


    1. GokenTanmay
      17.01.2019 08:28

      Извиняюсь если сорвал кому то «коварный» план. И я забыл, что у военных как класса — иное чувство юмора.


    1. Wesha
      17.01.2019 23:31

      Я так понимаю нет ни одного живого человека, который был сказал: «Я получил не легальный физический доступ к серверам ПВО США»?

      Ключевое слово здесь "живого". :)


  1. celebrate
    17.01.2019 05:55

    Зачем вообще безопасность, если есть санкции? )


  1. Skycaptain
    17.01.2019 06:47

    К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия.

    установил боец сложный секретный пароль, его убили и оружие превратилось в тыкву.


    1. GokenTanmay
      17.01.2019 08:36

      Верное решение «ставить сложные секретные пароли» — бойца выводят из строя — «оружие» превращается в тыкву. Если исход столкновения положительный для стороны бойца, то всегда это «оружие» можно доставить и обслужить на своих пунктах. Но при попадании этого «оружия» в руки противника оно не может быть оперативно использовано против стороны бойца. Требуются дополнительные телодвижения с противной стороны, которые явно займут больше времени, чем у владельцев «оружия»/защиты.


      1. Skycaptain
        17.01.2019 08:51
        +2

        но и его сослуживец этим оружием оперативно воспользоваться не сможет


  1. cerrenesi
    17.01.2019 09:38

    Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.

    вряд ли это можно увязать с кибербезопасностью. Хакер никак не попадет на военный объект физически.


    1. Kate1313
      17.01.2019 09:54

      а вот уборщица или очень широкий рядовой могут на-в этот сервер что-нибудь уронить) всякое бывает. И хана тогда всей обороне.


  1. ua30
    17.01.2019 10:54

    Ошибка в названии статьи. Правильней будет так: «Военные США халатно относятся к вопросам кибербезопасности». В принципе, слова «военные» и «кибербезопасность» так же можно убрать. Большинство факапов случается из-за человеческого фактора.


    1. teecat
      17.01.2019 13:01

      Точнее название должно быть — военные халатно относятся к своим обязаностям, в том числе в области безопасности

      В боевом информационном центре корабля (БИЦ, или CIC — Combat Information Center, как называют его американцы) творилась настоящая катастрофа. Контр-адмирал Брайан Форд, проводивший расследование, описывает, что центр был больше похож на студенческое общежитие, а не на отсек боевого корабля. Всюду валялись объедки, грязная одежда и бытовые принадлежности. В помещении стоял запах мочи — оказалось, большинству операторов было лень ходить до гальюна, и они справляли нужду в бутылки из-под газировки, которые потом оставляли под пультами. Доска для оперативной информации была покрыта посторонними надписями и рисунками. Половина оборудования не работала. Пульт одного из радаров, например, был заклеен скотчем, чтобы никто зря не тыкал в кнопки, «потому что он всё равно не включается» — при этом о неисправности радара даже не удосужились доложить куда следует, и сколько времени он пребывал в таком состоянии никто не помнил.

      Отсюда