האקרים סינים תקפו צואה במהלך כיבוי הממשלה

ועדת הבחירות הפדרלית נפגעה מהתקפת סייבר מאסיבית שעות לאחר שהחלה הכיבוי הממשלתי, כך עולה מדו"ח של המרכז לשלמות ציבורית. בדו"ח מדד המחירים לצרכן נטען כי הסינים עומדים מאחורי "מעשה החבלה הגרוע ביותר" בתולדות הסוכנות 38 שנה.

שלושה פקידי ממשל שהיו מעורבים בחקירה אישרו את הפיגוע במדד המחירים לצרכן, ו- FEC אישרו את האירוע בהצהרה. עם זאת, דוח מדד המחירים לצרכן לא הסביר מדוע גורמים רשמיים סברו כי סין הייתה מעורבת, או מסרו פרטים על פריצת הרשת מעבר לעובדה שתוקפים התרסקו מספר מערכות מחשב של FEC. כאשר התבקש הודעה, FEC הפנתה את ה- Watch Watch למחלקה לביטחון פנים ולא סיפקה כל מידע.

העובדה שתקיפה במהלך הכיבוי בן 16 הימים התרחשה לא צריכה להיות הפתעה גדולה, מכיוון שמומחי אבטחה רבים הזהירו כי התוקפים עשויים לנצל את עובדיהם של אנשי ה- IT כדי לפתוח במתקפה. עם פחות אנשים שצפו ברשתות, הייתה הרבה הזדמנות לתוקפים. למעשה, ה- FEC העבירה את פני כל 339 עובדי הסוכנות מכיוון שאף אחד מאנשי הצוות שלה לא נחשב "נחוץ למניעת איומים קרובים" על רכוש פדרלי, על פי מדד המחירים לצרכן.

" סיכון גבוה" לחדירות רשת

בדיעבד היא בת 20/20, אך ההתקפה אירעה כמעט שנה לאחר שמבקר עצמאי הזהיר את ה- FEC כי תשתית ה- IT שלה היא "בסיכון גבוה" לתקיפה. המבקר ציין כי בעוד שבחברת FEC היו כמה מדיניות, הם לא הספיקו ונדרשה פעולה מיידית כדי להפחית את הסיכונים. ה- FEC לא הסכימה עם רוב המלצות המבקר, וטענה כי מערכותיו היו מאובטחות.

"מערכות המידע והמידע של ה- FEC נמצאות בסיכון גבוה בגלל ההחלטה שקיבלו פקידי ה- FEC שלא לאמץ את כל דרישות האבטחה המינימליות שהממשל הפדרלי אימץ", כתבו רואי חשבון מבית Leon Snead & Company בנובמבר 2012.

הגיליונות כללו סיסמאות שמעולם לא פג תוקף, לא שונו מאז 2007, או שמעולם לא שימשו להיכנס. חשבונות מושבתים נשארו ב- Active Directory ומחשבים ניידים שהונפקו לקבלנים השתמשו באותה סיסמה "ניחשת בקלות", על פי הדו"ח. אף על פי שה- FEC דרשה אימות דו-גורמי במערכות המחשבים שלה, הביקורת זיהתה 150 מחשבים שניתן להשתמש בהם כדי להתחבר מרחוק למערכות FEC שלא הגדרת אפשרות להגנה נוספת. רואי החשבון סימנו גם תהליכי תיקון גרועים ותוכנות מיושנות.

בתגובה לביקורת נמסר מהסוכנות בתגובה כי "הבקרות במקום משקפות את רמת הביטחון והסיכון המתאים לתמיכה במשימה ולהגנה על נתוני הסוכנות.

לא ברור אם התוקפים ניצלו את הסיסמאות הגרועות או את כל הנושאים האחרים שסומנו בדו"ח במהלך הפיגוע באוקטובר. בהתחשב בכך שהסוכנות ביטלה את הביקורת בדוח הביקורת, סביר להניח שרבים מהנושאים לא נפתרו החל מחודש אוקטובר.

אבטחה, לא תקנות

הסוכנות נדרשה לאמץ בקרות אבטחת מידע של NIST ב- FIPS 200 ו- SP 800-53 ולהורות כי כל הקבלנים וספקי הצד השלישי ימלאו אחר הדרישות המפורטות בחוק ניהול אבטחת המידע הפדרלי משנת 2002 (FISMA), כך אמרו רואי החשבון. הקבלנים העובדים עם הממשל הפדרלי נדרשים לציית ל- FISMA, ורק בגלל שה- FEC היה פטור מ- FISMA לא פירושם שהקבלנים היו כאלה, אמרו רואי החשבון.

נראה כי ה- FEC מקבלת החלטות בנושא אבטחת IT על סמך מה שהסוכנות מחויבת לעשות כחוק, במקום לשקול מה יהפוך את מערכות המידע ומערכות המידע של הסוכנות לבטוחות יותר, נכתב בדו"ח הביקורת.

חשוב לארגונים להבין כי אבטחה לא נועדה רק לסלק רשימת הנחיות ותקנים. מנהלי מערכת צריכים לחשוב מה הם עושים ולוודא כי פעולותיהם תואמות את הצרכים התשתיתיים שלהם. ה- FEC עמדה על קיומה של מדיניות והנחיות להגנה על הנתונים והרשתות שלה, והיא הספיקה משום שהיא עמדה בהנחיה ביטחונית אחרת. הסוכנות לא עצרה לשקול אם בקרות ומדיניות אלה אכן הפכו את הרשת שלה לאבטחה.

עמדת האבטחה הגרועה של ה- FEC פירושה ש"רשת המחשבים, הנתונים והמידע שלה נמצאים בסיכון מוגבר לאובדן, גניבה, מניפולציה, הפרעה לפעולות ופעולות שליליות אחרות ", הזהיר הדו"ח.

ואנחנו נותרים תוהה מה התוקפים עשו מה שהפך את החדירה למעשה החבלה הגדול ביותר בתולדות הסוכנות, ואילו סוכנויות אחרות אולי פגעו באותה תקופה. אנו יכולים רק לקוות כי סוכנויות אחרות עשתה עבודה טובה יותר בעמידה בתקני אבטחה מינימליים עבור הנתונים והרשתות שלה.