Video: Chinese Hackers and America's "Revenge" | China Uncensored (September 2024)
Den federala valkommissionen drabbades av ett massivt cyberattack timmar efter att regeringen avstängde, enligt en rapport från Center for Public Integrity. CPI-rapporten hävdade att kineserna stod bakom "den värsta sabotagehandlingen" i byråns 38-åriga historia.
Tre statliga tjänstemän som deltog i utredningen bekräftade attacken mot KPI och FEC erkände händelsen i ett uttalande. KPI-rapporten förklarade emellertid inte varför tjänstemännen trodde att Kina var inblandad, eller lämnade några detaljer om nätintrång utöver det faktum att angriparna kraschade flera FEC-datorsystem. När FEC bad om ett uttalande, hänvisade FEC Security Watch till Department of Homeland Security och lämnade ingen information.
Det faktum att en attack under den 16-dagarsstängningen inträffade borde inte vara en stor överraskning, eftersom många säkerhetsexperter hade varnat angripare kan dra nytta av att IT-personal överskrids för att starta en attack. Med färre människor som tittade på nätverket fanns det många möjligheter för angripare. I själva verket hade FEC överskott av alla 339 byråns anställda eftersom ingen av dess personal ansågs "nödvändiga för att förebygga överhängande hot" mot federala fastigheter, enligt CPI.
" Hög risk" för nätintrång
Efterhand är 20/20, men attacken hände nästan ett år efter att en oberoende revisor hade varnat FEC att dess IT-infrastruktur var "hög risk" för attack. Revisorn påpekade att även om FEC hade vissa policyer var de inte tillräckliga och omedelbara åtgärder krävdes för att minska riskerna. FEC höll inte med majoriteten av revisorns rekommendationer och hävdade att dess system var säkra.
"FEC: s informations- och informationssystem är i hög risk på grund av beslutet av FEC-tjänstemän att inte anta alla minimikrav för säkerhet som den federala regeringen har antagit", skrev revisorer från Leon Snead & Company i november 2012.
Problemen inkluderade lösenord som aldrig löpt ut, inte hade ändrats sedan 2007 eller aldrig använts för att logga in. Inaktiverade konton förblev i Active Directory och bärbara datorer som utfärdats till entreprenörer använde samma "lätt gissade" lösenord, enligt rapporten. Trots att FEC krävde tvåfaktorsautentisering på sina datorsystem, identifierade revisionen 150 datorer som kunde användas för att fjärransluta till FEC-system som inte har ytterligare skydd aktiverat. Revisorer flaggade också dåliga lappprocesser och föråldrad programvara.
"Kontrollerna på plats återspeglar lämplig säkerhetsnivå och acceptabel risk för att stödja uppdraget och skydda byråns uppgifter, " säger byrån i sitt svar på revisionen.
Det är inte klart om angriparna utnyttjade de dåliga lösenorden eller några av de andra frågorna som rapporterades i rapporten under oktoberattacken. Med tanke på att byrån avfärdade kritiken i revisionsrapporten är det troligt att många av frågorna förblev olösta från och med oktober.
Säkerhet, inte förordningar
Byrån behövde anta NIST-säkerhetskontroller i FIPS 200 och SP 800-53 och kräver att alla entreprenörer och tredjepartsleverantörer följer de krav som anges i Federal Information Security Management Act 2002 (FISMA), sade revisorerna. Entreprenörer som arbetar med den federala regeringen måste följa FISMA, och bara för att FEC var FISMA-undantaget betydde inte att entreprenörerna var det, sa revisorn.
FEC tycktes fatta beslut om IT-säkerhet baserat på vad byrån lagligen är skyldig att göra, snarare än att överväga vad som skulle göra byråns informations- och informationssystem säkrare, säger revisionsrapporten.
Det är viktigt för organisationer att inse att säkerhet inte bara handlar om att kolla in en lista med riktlinjer och standarder. Administratörer måste tänka på vad de gör och se till att deras åtgärder är i linje med vad deras infrastruktur behöver. FEC insisterade på att det hade policyer och riktlinjer för att skydda sina data och nätverk, och det var tillräckligt för att det uppfyllde ett annat säkerhetsdirektiv. Byrån hade inte stoppat för att överväga om dessa kontroller och policyer faktiskt gjorde sitt nätverk säkert.
FEC: s dåliga säkerhetsställning innebar att dess "datornätverk, data och information har en ökad risk för förlust, stöld, manipulation, avbrott i operationer och andra negativa åtgärder", varnade rapporten.
Och vi vänster undrar vad angriparna gjorde som gjorde intrång till den största sabotagehandlingen i byråns historia, och vilka andra byråer kan ha drabbats under samma tidsperiod. Vi kan bara hoppas att andra byråer hade gjort ett bättre jobb med att uppfylla minsta säkerhetsstandarder för sina data och nätverk.
