ビデオ: À Á Â Ã Ä Å Æ Ç È É Ê Ë Ì Í Î Ï Ð Ñ Ò Ó Ô Õ Ö Ø Œ Š þ Ù (十一月 2024)
Center for Public Integrityのレポートによると、連邦選挙委員会は、政府の閉鎖が始まってから数時間後に大規模なサイバー攻撃を受けました。 CPI報告書は、中国政府は同機関の38年の歴史の中で「最悪の妨害行為」の背後にいると主張した。
調査に関与した3人の政府職員がCPIへの攻撃を確認し、FECは声明で事件を認めた。 ただし、CPIレポートでは、当局が中国が関与していると考える理由を説明しておらず、攻撃者がいくつかのFECコンピューターシステムをクラッシュさせたという事実以外のネットワーク侵入の詳細を提供していません。 声明を求められたとき、FECは セキュリティウォッチ を国土安全保障省に照会し、情報を提供しませんでした。
16日間のシャットダウン中に攻撃が発生したという事実は、多くのセキュリティの専門家が攻撃者が攻撃を開始するためにIT担当者を悪用する可能性があると警告したため、大きな驚きではないはずです。 ネットワークを監視する人が少なくなったため、攻撃者にとって多くの機会がありました。 事実、CPIによると、FECは339の代理店の従業員全員を連邦政府の財産に対する「差し迫った脅威の防止に必要」とはみなさなかったため、全従業員を解雇した。
ネットワーク侵入の 「 高リスク」
後知恵は20/20ですが、攻撃は独立した監査人がFECにITインフラストラクチャが攻撃の「高いリスク」にあると警告したほぼ1年後に起こりました。 監査員は、FECにはいくつかのポリシーがありますが、それらは十分ではなく、リスクを軽減するために直ちに行動する必要があると指摘しました。 FECは、監査人の推奨事項の大半に同意せず、そのシステムは安全であると主張しました。
「FECの情報と情報システムは、連邦政府が採用したすべての最低セキュリティ要件を採用しないというFEC職員の決定により、リスクが高い」とレオン・スニード&カンパニーの監査人は2012年11月に書いた。
問題には、有効期限が切れない、2007年以降変更されていない、またはログインに使用されていないパスワードが含まれていました。無効なアカウントはActive Directoryに残り、請負業者に発行されたラップトップは同じ「簡単に推測された」パスワードを使用しました。 FECのコンピューターシステムでは2要素認証が必要でしたが、監査により、追加の保護が有効になっていないFECシステムへのリモート接続に使用できる150台のコンピューターが特定されました。 監査人はまた、パッチ適用プロセスの不良と古いソフトウェアにフラグを立てました。
「適切な管理は、ミッションをサポートし、機関のデータを保護するための適切なレベルのセキュリティと許容可能なリスクを反映しています」と、機関は監査への対応で述べました。
攻撃者が10月の攻撃中にレポートで報告された貧弱なパスワードやその他の問題を利用したかどうかは明らかではありません。 当局が監査報告書の批判を却下したことを考慮すると、10月の時点で多くの問題が未解決のままである可能性が高い。
規制ではなくセキュリティ
当局は、NIST ITセキュリティコントロールをFIPS 200およびSP 800-53で採用し、すべての請負業者とサードパーティプロバイダーが2002年の連邦情報セキュリティ管理法(FISMA)で概説されている要件に従うことを義務付ける必要がありました。 連邦政府と協力する請負業者はFISMAに準拠する必要があり、FECがFISMA免除であったからといって、請負業者が従わなかったわけではない、と監査人は言いました。
FECは、政府機関の情報と情報システムをより安全にするものを検討するのではなく、政府機関が法的に何をする必要があるかに基づいてITセキュリティの意思決定を行っているようだと監査報告書は述べた。
組織にとって、セキュリティとは単にガイドラインと標準のリストをチェックすることではないことを認識することが重要です。 管理者は、自分が何をしているのかを考え、そのアクションがインフラストラクチャのニーズに合っていることを確認する必要があります。 FECは、データとネットワークを保護するためのポリシーとガイドラインが整っていると主張しましたが、別のセキュリティディレクティブに準拠していたので十分でした。 政府機関は、これらの制御とポリシーが実際にネットワークを安全にしたかどうかを検討することを止めていませんでした。
FECの貧弱なセキュリティ体制は、その「コンピュータネットワーク、データ、および情報が、損失、盗難、操作、運用の中断、およびその他の有害なアクションのリスクが高い」ことを意味しました。
そして、私たちは、侵入者を代理店の歴史の中で妨害行為の最大の行為にした攻撃者が何をしたのか、そして他のどの代理店が同じ期間に打撃を受けたのか疑問に思っています。 他の機関がそのデータとネットワークの最低限のセキュリティ基準を満たすより良い仕事をしたことを願うばかりです。