Без надежной защиты компании и частные лица подвергаются разнообразным угрозам — от похищения корпоративных секретов и денег со счетов до кражи фотографий, которые не предназначены для посторонних глаз. Кибербезопасность — одна из наиболее важных сфер современности. Еще более опасная ситуация — если в руки злоумышленников попадает информация военного характера, например, доступы к каким-либо установкам.
Недавно был опубликован отчет по изучению информационной безопасности в войсках этой страны. И эта ситуация может возникнуть в любой момент — во всяком случае, в армии США. Проверяющие выделили 266 рекомендаций по решению проблем, причем некоторые «дыры» существуют с 2008 года.
Военные «ревизоры» изучили текущую ситуацию, а также отчеты предыдущих лет. По мнению проверяющих, ситуация удручающая. Ранее Пентагону показали, как можно закрыть 159 различных «дыр» для улучшения системы защиты. Оказалось, что многие проблемы никак не решаются, нет даже попыток что-то улучшить. Но военные попытались что-то предпринять лишь в 19 случаях из 159.
К примеру, те войска, которые отвечают за противоракетную оборону США халатно относятся к возможности физического доступа к оборудованию посторонних. Описанные проблемы имеют отношения ко всем видам войск, важность проблем ранжировали от «очень серьезных» до «обычных». Дверцы серверных шкафов не закрыты, несмотря на строгое предписание закрывать их.
Кроме того, данные, которые сотрудники военных ведомств передают с компьютера на компьютер при помощи съемных носителей информации, не шифруются. Специалисты по сетевому оборудованию выполняли ремонтные работы и не уведомили службу безопасности о необходимости закрыть физический доступ к оборудованию после завершения сервисных работ. Согласно данным, которые приводят проверяющие, шифруется лишь 1% из общего объема данных, которые предписывается защищать.
Проблема выявлена во все том же подразделении, которое отвечает за противоракетную оборону страны.
Так, из семи подрядчиков пятеро, имеющих доступ к сети с данными по ракетной технической информацией, далеко не всегда используют многофакторную защиту. И если сами военные ведут себя не слишком осторожно, то подрядчики своей халатностью выделяются даже на фоне регулярных войск. Системные администраторы пяти из семи подрядчиков не установили принудительное завершение сессии после 15 минут отсутствия активности, что требуется военными. Подрядчики не выполняют оценку рисков, не шифруют носители информации, используют слабые пароли. Получается, что текущая сессия длится сколь угодно долго, пока не отключится сам ПК.
В октябре заявлялось, что многие системы Пентагона почти открыты для кибератак. Более того, различные сети военных до сих пор легкоуязвимы даже для стандартных средств взлома. Вопросам кибербезопасности придается минимальный статус важности при разработке таких систем. Разработчики разного типа вооружений с сетевыми функциями не слишком заботятся о системах безопасности. К примеру, ВВС не изменяют дефолтные связки «логин/пароль» при использовании какого-либо оружия. Работа над информационной безопасностью систем вооружения ведется спустя рукава, так что в инфраструктуре много слабых мест.
По словам проверяющих, этот вопрос можно назвать «ночным кошмаром» безопасника. Отдельно можно упомянуть электронные медицинские карточки пациентов-военных. Вместо этого используются простые пароли, которые можно подобрать методом перебора. Согласно требованиям, пароли должны быть 15-символьными, с цифрами, символами, буквами верхнего и нижнего регистра.
Как и в случае ракетной обороны, в медицине почти ничего не шифруется, взломать такие системы несложно, а медицинские терминалы не запрограммированы на автоматическое завершение сессий.
Поэтому военные США продолжают сталкиваться со все более изощренными киберугрозами со стороны противников. Многие проблемы, по мнению проверяющих, связаны с недостатками управления — Пентагон просто не разработал эффективной системы менеджмента вопросами кибербезопасности. В частности, это атаки, которые направлены нарушение работы или, частичное или даже полное уничтожение целевых информационных систем.
