TN Примечание: безрассудное обращение с данными предполагаемыми «экспертами» было выявлено, но вряд ли это исправить. Утечки данных (например, хакеры) не являются основной проблемой технократов, потому что независимо от того, какая небольшая часть утечки, они считают, что у них все еще есть исходные полные данные, которые могут быть проанализированы только ими.
Министерство внутренней безопасности управляет сотнями конфиденциальных и сверхсекретных баз данных без надлежащего разрешения, в результате чего агентство не уверено, сможет ли оно «защитить конфиденциальную информацию» от кибератак.
An аудит Обнародованный в четверг генеральным инспектором был обнаружен ряд слабых мест в программах информационной безопасности агентства.
В частности, департамент эксплуатирует системы 136 «чувствительные, но не классифицированные», «секретные» и «совершенно секретные» системы с «полномочиями, срок действия которых истек».
«По состоянию на июнь 2015, в DHS системы 17 классифицировались как« Секретные »или« Совершенно секретные », работающие без [органов управления] ATO», - сказал генеральный инспектор. «Без ATO DHS не может гарантировать, что его системы должным образом защищены для защиты конфиденциальной информации, хранящейся и обрабатываемой в них».
Ведущими агентствами, работающими с незащищенными базами данных, была Береговая охрана с 26, затем Федеральное агентство по чрезвычайным ситуациям с 25 и Таможня и охрана границ с 14.
Штаб-квартира Департамента внутренней безопасности использует 11, а Администрация транспортной безопасности использует секретные или секретные системы 10 с просроченными разрешениями.
Аудит также обнаружил, что для компьютеров, интернет-браузеров и баз данных отсутствовали исправления безопасности, а слабые пароли сделали информационную безопасность агентства уязвимой.
«Мы обнаружили дополнительные уязвимости в отношении Adobe Acrobat, Adobe Reader и Oracle Java на рабочих станциях Windows 7», - сказал генеральный инспектор. «В случае использования эти уязвимости могут привести к несанкционированному доступу к данным DHS».
Проверка, которая была предписана Федеральным законом о модернизации информационной безопасности 2014, показала, что внутренние веб-сайты также подвержены атакам «перехвата кликов» и «межсайтовым и межкадровым уязвимостям».
«Уязвимости межсайтового и межкадрового скриптинга позволяют злоумышленникам внедрить вредоносный код в другие безопасные сайты», - сказал генеральный инспектор. «Атака с помощью кликбека обманывает жертву, заставляя ее взаимодействовать с конкретными элементами целевого сайта без ведома пользователя, выполняя привилегированные функции от имени жертвы».
wpDiscuz