Vídeo: Calling All Cars: The Blonde Paper Hanger / The Abandoned Bricks / The Swollen Face (Setembre 2024)
Segons un informe del Centre d’Integritat Pública, la Comissió Electoral Federal va ser afectada per un ciberataque massiu hores després de l’apagada del govern. L'informe de l'IPC afirmava que els xinesos estaven al darrere "el pitjor acte de sabotatge" de 38 anys d'història de l'agència.
Tres funcionaris governamentals implicats en la investigació van confirmar l’atac a l’IPC i la FEC va reconèixer l’incident en un comunicat. Tot i això, l’informe de l’IPC no explicava per què els funcionaris creien que estava implicada la Xina ni proporcionava cap detall de l’intrusisme de la xarxa més enllà del fet que els atacants estavellaven diversos sistemes informàtics FEC. Quan se li va sol·licitar una declaració, FEC va remetre Security Watch al Departament de Seguretat Nacional i no va proporcionar cap informació.
El fet que es produís un atac durant la detenció de 16 dies no ha de ser una gran sorpresa, ja que molts experts en seguretat havien advertit que els atacants podrien aprofitar que el personal de les TI es va lluitar per llançar un atac. Amb menys gent que mirava les xarxes, hi havia molta oportunitat per als atacants. De fet, la FEC havia arrabassat tots els 339 empleats de l'agència, ja que cap dels seus empleats s'havia considerat "necessari per a la prevenció d'amenaces imminents" a la propietat federal, segons l'IPC.
" Alt risc" per a intrusions de xarxa
El retrocés és de 20/20, però l'atac es va produir gairebé un any després que un auditor independent havia advertit a la FEC que la seva infraestructura informàtica tenia un "risc elevat" d'atac. L’auditor va assenyalar que, mentre que la FEC tenia algunes polítiques en marxa, no eren suficients i calia accions immediates per reduir els riscos. La FEC no estava d'acord amb la majoria de les recomanacions de l'auditor, argumentant que els seus sistemes eren segurs.
"Els sistemes d'informació i informació de la FEC tenen un gran risc a causa de la decisió dels funcionaris de la FEC de no adoptar tots els requisits mínims de seguretat que ha adoptat el govern federal", van escriure els auditors de Leon Snead & Company el novembre de 2012.
Els problemes incloïen contrasenyes que no havien caducat, no s’havien canviat des del 2007 ni s’havien utilitzat mai per iniciar la sessió. Els comptes desactivats van romandre a Active Directory i els ordinadors portàtils emesos als contractistes van utilitzar la mateixa contrasenya "fàcilment endevinada", segons l’informe. Tot i que la FEC requeria una autenticació de dos factors en els seus sistemes informàtics, l’auditoria va identificar 150 ordinadors que es podrien utilitzar per connectar-se de forma remota a sistemes FEC que no tenien habilitada la protecció addicional. Els auditors també van marcar els processos de remenat pobres i els programes obsolets.
"Els controls existents reflecteixen el nivell adequat de seguretat i el risc acceptable per donar suport a la missió i salvaguardar les dades de l'agència", va dir l'agència en la seva resposta a l'auditoria.
No està clar si els atacants van aprofitar les contrasenyes pobres o algun dels altres problemes marcats a l'informe durant l'atac d'octubre. Tenint en compte que l’agència havia desestimat les crítiques a l’informe d’auditoria, és probable que moltes de les qüestions quedessin resoltes a partir d’octubre.
Seguretat, no normativa
L’agència havia d’adoptar els controls de seguretat de TI NIST en FIPS 200 i SP 800-53 i exigir que tots els contractistes i proveïdors de tercers seguissin els requisits descrits en la Llei federal de gestió de la seguretat de la informació de 2002 (FISMA), segons van dir els auditors. Els contractistes que treballen amb el govern federal han de complir amb FISMA, i només perquè la FEC estava exempta de FISMA no significava que els contractistes ho fossin, segons van dir els auditors.
Segons el informe d'auditoria, la FEC va prendre decisions sobre seguretat informàtica basada en el que legalment s'ha de fer de l'agència, en lloc de considerar el que faria més segurs els sistemes d'informació i informació de l'agència.
És important que les organitzacions s’adonin que la seguretat no es tracta només de consultar una llista de directrius i estàndards. Els administradors han de pensar en el que fan i assegurar-se que les seves accions s’ajusten a les necessitats de la seva infraestructura. La FEC va insistir que tenia polítiques i directrius per protegir les seves dades i xarxes i que era suficient perquè complia una directiva de seguretat diferent. L’agència no s’havia aturat per examinar si aquests controls i polítiques realitzaven la seva xarxa segura.
La mala postura de seguretat de la FEC significa que la seva "xarxa informàtica, dades i informació té un major risc de pèrdua, robatori, manipulació, interrupció de les operacions i altres accions adverses", va advertir l'informe.
I ens quedem preguntant-nos què van fer els atacants que van fer de l’intrusisme l’acte més gran de sabotatge de la història de l’agència i quines altres agències podrien haver estat colpejades en el mateix període de temps. Només podem esperar que altres agències hagin fet un millor treball per complir amb les normes de seguretat mínimes per a les seves dades i xarxes.
