Компьютерная опасность
В июле 2013 года хакер, называющий себя Peace (Мир), загрузил шпионский код в компьютеры Департамента энергетики США, агентства, отвечающего за американскую военную ядерную программу, производство электроэнергии и другие важные интересы страны.
Peace сорвал банк, получив огромное количество конфиденциальной личной информации, в том числе, имена сотрудников, номера их социальных страховок и данные их банковских счетов.
«УРАААААА! — написал он в чате. — На это ушли почти сутки, но я наконец-то обчистил mis.doe.gov»
Прокуратура подозревает, что за прозвищем Peace скрывается Лори Лав (Lauri Love), 30-летний житель английского Саффолка. Сравнительно легко он и его анонимные сообщники смогли получить неограниченный доступ к системе и направить более 600 запросов в компьютеры Департамента энергетики. Предполагаемые хакеры получили доступ к данным более 104 тысяч действующих и бывших сотрудников ведомства, воспользовавшись известной, но так и не заделанной прорехой в безопасности программы ColdFusion от Adobe.
Предположительно, мистер Лав использовал ту же тактику для проникновения в компьютеры Федеральной резервной системы, НАСА, Агентства по защите окружающей среды, армии и Агентства противоракетной обороны США, согласно трем разным обвинительным заключениям. Взлом Департамента энергетики стал одним из самых крупных хищений личной информации сотрудников в свое время, и, по словам службы безопасности ведомства, этого можно было избежать.
«Уязвимое место, использованное хакером, было выявлено (американской компанией Adobe) в январе 2013 года», — сообщил генеральный инспектор департамента Грегори Фридман (Gregory Friedman), изучив выводы следствия.
Несмотря на всю серьезность, прорехи в Департаменте энергетики не могут считаться большой редкостью. Хотя американский высокотехнологический сектор занимает лидирующие позиции в мире, компьютерные системы правительственных структур оказались совершенно не готовы к частоте и изощренности атак в киберпространстве.
Уязвимость американских министерств и ведомств давно не секрет. На прошлой неделе администрация Обамы признала, что хакеры украли личные данные 25 миллионов сотрудников, произведя две атаки на Канцелярию управления персоналом (КУП), отдел кадров американского правительства. Второй взлом был крупнейшей кибератакой в истории на американскую правительственную структуру. В феврале глава КУП уволился.
Законодатели считают быстро увеличивающееся число хакерских атак признаком новой холодной войны, в которой США проигрывают. Стоит ли за хакерскими атаками целая страна (во взломе системы КУП подозревают Китай) или маленькая группа вроде Лава и его сообщников, но хакеры зачастую куда более умелые и проворные, чем американское правительство.
Дозвониться ради комментария до мистера Лава, которому предъявлены обвинения в Нью-Йорке, Нью-Джерси и Вирджинии, но запроса на экстрадицию которого еще не поступало, не удалось.
Китай и Россия становятся все более агрессивными в хакерских атаках, вынуждая американских должностных лиц неохотно отдавать им должное.
«Нужно отдать должное Китаю за то, что он сделал», — сказал глава национальной разведки Джеймс Клэппер (James Clapper) взломе КУП.
Financial Times проанализировал десятки докладов генеральных инспекторов агентств, Главного бюджетно-контрольного управления и Службы управления и бюджета (СУБ), и выяснил, что в течение многих лет более половины из 24 агентств были вынуждены сообщить, что их службы киберзащиты были не в состоянии принять самые базовые меры. Речь идет о «латании прорех» в программном обеспечении, использовании надежной системы распознания и последовательной системы наблюдения, чтобы обеспечить безопасность бесценных сокровищ — личной информации сотрудников, отставных военных и правительственных программах.
Изучение тысяч документов и записей показаний бывших и действующих госслужащих раскрывает всю глубину задач, стоящих перед правительственными структурами. Большинство из них не захотели обсуждать выводы этих отчетов.
«Одна из главных проблем в том, что мы используем старое оборудование, сделанное в те времена, когда таких угроз не было», — сказал в этом году Конгрессу новый главный правительственный чиновник по вопросам информации Тони Скотт (Tony Scott).
Количество успешных взломов правительственных агентств и хищений крайне важной информации стремительно растет. В этом году хакеры получили 100 тысяч налоговых счетов, взломав систему Государственной налоговой службы. Взлом американской Почтовой службы привел к раскрытию важных сведений о 800 тысячах сотрудников. Госдепартамент и Белый дом сообщили, что их незасекреченные системы были взломаны, предположительно, агентами российских спецслужб.
«Мы обязаны повысить уровень кибербезопасности в частном и в общественном секторах», — заявил на прошлой неделе координатор по кибербезопасности Белого дома Майкл Дэниэл (Michael Daniel ).
В осаде
Число различных «инцидентов» в федеральных агентствах, включая попытки фишинга, вложений с вирусами и несанкционированного доступа работников выросло в период с 2006 по 2014 год на 1100% и составило 67178 случаев, согласно КУП. Отчасти рост объясняется тем, что службы безопасности стали эффективнее выявлять атаки подобного рода.
«Вся страна расплачивается сейчас за 20 лет недостаточного финансирования государственной кибербезопасности, как в частном, так и в общественном секторе», — заявил Конгрессу помощник главы Департамента внутренней безопасности Энди Озмент (Andy Ozment ).
Администрация Обамы увеличила федеральные правительственные расходы на информационные технологии с 78,6 миллиарда долларов в 2013 году до заявленных 86,3 миллиарда долларов в 2016 году. В 2015 году правительство сначала хотело сократить бюджет на 3%, но затем увеличило его. Проблемы усугубились спорами с Конгрессом о бюджете и стремлением к сокращению расходов.
Хотя увеличение средств должно помочь, чиновники также указали на такие проблемы, как бюрократические препоны при наборе сотрудников, сложные процессы закупок и нерациональное использование бюджета — десятки миллионов долларов были потрачены на неудачное усовершенствование программного обеспечения.
Сенатор-демократ из Делавэра Том Карпер (Tom Carper ) сказал FT, что два недавно принятых закона должны дать руководителям информационных служб в агентствах больше полномочий в области контроля соответствующих статей бюджетов, и это должно оказать значительную помощь в деле модернизации систем кибербезопасности.
«Но в том, что касается кибербезопасности, Конгресс не может почивать на лаврах, у нас еще много работы. Конгресс обязан утвердить и профинансировать внедрение новейших технологий киберзащиты, чтобы сократить вероятность новых вторжений в базы данных правительственных агентств», — сказал он.
Устаревшее оборудование, используемое американскими правительственными агентствами, делает невозможным применение новейших средств защиты. Такие технологии, как «нулевое доверие», при которой все приложения, устройства и пользователи должны проходить проверку — сейчас широко используется в программном обеспечении, выпускаемом такими компаниями, как VMware, Palo Alto Networks и Cisco — просто не будут работать. Шифрование данных тоже невозможно в старой информационной инфраструктуре, унаследованной КУП. Их кибербезопасность выглядела так плохо, что за неделю до последнего взлома генеральный инспектор рекомендовал отключить все системы и основательно перезагрузить их. КУП отказалось.
Золотое дно для разведки
Надежная авторизация предусматривает ввод дополнительных данных, помимо имени пользователя и пароля. К ним относится двухуровневая проверка, требующая ввода имени пользователя и кода безопасности или личной идентификационной карты. Сегодня это базовая процедура во многих компаниях и часто используется в бесплатных онлайн-сервисах, например, Gmail. Некоторые агентства, включая Госдепартамент, министерство труда и КУП, не используют двухуровневую проверку, и 15 из 24 агентств не смогли привести в соответствие с этим требованием хотя бы половину своих сотрудников, сообщила КУП в феврале.
«Эти данные важны, многие инциденты в киберпространстве связаны с отсутствием надежных средств авторизации», — говорится в ежегодном отчете КУП Конгрессу.
Использование старых технологий, широкомасштабные операции и необходимость поддержки круглосуточной связи создают большие трудности в области безопасности, говорят бывшие и действующие чиновники. «Мы пытаемся наложить повязку на лопнувшую сонную артерию», — сказал генеральный инспектор-ревизор, обнаруживший прорехи в безопасности инспектируемого агентства.
Многие федеральные агентства не владеют даже базовой грамотностью в сфере информационных технологий, как показал взлом Департамента энергетики, где сотрудники предпочли стереть файл, вместо того, чтобы проанализировать траффик, организованный Лавом. Проведенные проверки показали, что многие агентства понятия не имеют о том, сколько у них компьютерных систем.
Даже у Департамента внутренней безопасности оказались слабые места в киберзащите, особенно в том, что связано с Федеральным агентством по урегулированию чрезвычайных ситуаций, согласно докладу генерального инспектора от декабря 2014 года. Помимо прочего, Департамент внутренней безопасности занимается надзором за иммиграцией и проверкой иностранцев, прибывающих в США. Это также федеральное агентство, которое должно помогать другим таким структурам укрепить их кибербезопасность.
Американские чиновники говорят, что во время второго взлома КУП Китай получил данные о 21,5 миллионе человек, включая их связи с иностранцами, их друзей, их финансовую информацию и их трудовой стаж.
«Для китайской разведки это золотое дно. Отсутствие большого скандала показывает, что мы очень далеки от улаживания проблемы, — говорит бывший конгрессмен от Мичигана Майк Роджерс (Mike Rogers), который, будучи председателем комитета по разведке, добивался улучшения киберзащиты. — От каждого агентства потребуется немало сил и денег, чтобы исправить ситуацию и обновить технологии».
По его словам, спрашивать надо с американского правительства. «Если из-за вас оказались раскрыты данные всех тех, кто добровольно заполнял анкеты и фактически вложил свою жизнь в ваши руки, то вы несете ответственность за сохранность данных», — говорит он. Личные данные Майка Роджерса тоже были раскрыты.
Десятилетнее отставание
За полгода до предполагаемого взлома хакера Peace подразделение Департамента энергетики выявило слабое место дефектного программного обеспечения. Агентство отложило выплату 4200 долларов за новую версию программы, выяснил генеральный инспектор. Ущерб от взлома составил не менее 3,7 миллиона долларов, с учетом падения продуктивности и кредитного мониторинга, подсчитал инспектор.
В некоторых агентствах отсутствует внятное распределение обязанностей в области информационных технологий, и часто это означает, что ответственного нет. И если улучшение кибербезопасности вступает в противоречие с основной работой агентства, то решение задачи в этой сфере откладывается на неопределенный срок.
Риск и разочарование от игнорирования постоянных предупреждений вынудило
Стивена Линика (Steven Linick), генерального инспектора Госдепартамента, ведомства, помимо дипломатических отношений, ответственного, в том числе, за хранение сведений о визах и паспортных данных, просить Конгресс о реорганизации его работы. «Я бы хотел полностью отделиться от департамента, чтобы обеспечить целостность нашей системы», — сказал он в этом году.
Во вторник Госдепартамент заявил, что «полностью поддерживает» независимость генерального инспектора и его деятельности, а также вводит дополнительные средства контроля доступа и шифровку, чтобы снизить риск постороннего вторжения. «Однако мы хотим отметить, что само по себе создание отдельной сети не смягчит все угрозы, с которыми вынуждено иметь дело американское правительство».
Роберт Бриз (Robert Brese), который отвечал за информационные технологии в Департаменте энергетики во время взлома хакера Peace, сожалеет о том, что технологии правительства отстают от частного сектора.
«Правительство отстает на несколько лет, а кое в чем лет на десять от лучших представителей частного сектора в деле модернизации инфраструктуры и внедрения безопасных систем с большим запасом прочности, — говорит мистер Бриз, покинувший агентство в 2014 году. — И я говорю не о Google или Amazon, а о таких давно существующих компаниях, как Ford».
Обсудим?
Смотрите также: