Video: Buying hacked computers | VPRO Documentary (December 2024)
De Federal Election Commission werd volgens een rapport van het Centre for Public Integrity uren na de sluiting van de regering getroffen door een enorme cyberaanval. Het CPI-rapport beweerde dat de Chinezen achter "de ergste sabotage" zaten in de 38-jarige geschiedenis van het agentschap.
Drie overheidsfunctionarissen die bij het onderzoek betrokken waren, bevestigden de aanval op CPI en de FEC erkende het incident in een verklaring. Het CPI-rapport legde echter niet uit waarom de functionarissen dachten dat China betrokken was, of gaf geen details over de netwerkinbraak naast het feit dat aanvallers verschillende FEC-computersystemen hebben gecrasht. Toen om een verklaring werd gevraagd, verwees FEC Security Watch naar het Department of Homeland Security en verstrekte het geen informatie.
Het feit dat er tijdens de 16-daagse shutdown een aanval plaatsvond, hoeft geen grote verrassing te zijn, omdat veel beveiligingsexperts hadden gewaarschuwd dat aanvallers zouden kunnen profiteren van het verlof van IT-personeel om een aanval uit te voeren. Met minder mensen die naar de netwerken keken, was er veel gelegenheid voor aanvallers. In feite had de FEC alle 339 uitzendkrachten verlegd, omdat volgens CPI volgens het CPI geen van zijn medewerkers "noodzakelijk voor het voorkomen van dreigende bedreigingen" voor de federale eigendom was geacht.
" Hoog risico" voor netwerkinbraken
Achteraf is 20/20, maar de aanval gebeurde bijna een jaar nadat een onafhankelijke auditor de FEC had gewaarschuwd dat zijn IT-infrastructuur een "hoog risico" liep voor een aanval. De auditor wees erop dat hoewel de FEC een aantal beleidslijnen had, deze niet toereikend waren en onmiddellijke actie vereist was om de risico's te verminderen. De FEC was het niet eens met de meerderheid van de aanbevelingen van de auditor en betoogde dat de systemen veilig waren.
"De informatie- en informatiesystemen van het FEC lopen een hoog risico vanwege het besluit van de FEC-functionarissen om niet alle minimale veiligheidseisen te aanvaarden die de federale overheid heeft aangenomen", schreven auditors van Leon Snead & Company in november 2012.
Problemen waren onder meer wachtwoorden die nooit zijn verlopen, sinds 2007 niet zijn gewijzigd of nooit zijn gebruikt om in te loggen. Uitgeschakelde accounts bleven in Active Directory en laptops uitgegeven aan aannemers gebruikten hetzelfde "gemakkelijk te raden" wachtwoord, volgens het rapport. Hoewel de FEC tweefactorauthenticatie op zijn computersystemen vereiste, identificeerde de audit 150 computers die konden worden gebruikt om op afstand verbinding te maken met FEC-systemen waarvoor de aanvullende bescherming niet was ingeschakeld. Auditors markeerden ook slechte patching-processen en verouderde software.
"De aanwezige controles weerspiegelen het juiste beveiligingsniveau en het aanvaardbare risico om de missie te ondersteunen en de gegevens van het agentschap te beschermen, " zei het agentschap in zijn reactie op de audit.
Het is niet duidelijk of de aanvallers gebruik hebben gemaakt van de slechte wachtwoorden of een van de andere problemen die in het rapport tijdens de aanval van oktober zijn gemarkeerd. Aangezien het agentschap de kritiek in het auditrapport had afgewezen, is het waarschijnlijk dat veel van de problemen vanaf oktober onopgelost bleven.
Beveiliging, geen voorschriften
Het bureau moest NIST IT-beveiligingscontroles in FIPS 200 en SP 800-53 aannemen en opdracht geven dat alle contractanten en externe providers de vereisten volgen die zijn uiteengezet in de Federal Information Security Management Act van 2002 (FISMA), aldus de auditors. Aannemers die samenwerken met de federale overheid moeten zich houden aan FISMA, en alleen omdat de FEC FISMA-vrijgesteld was, betekende dit niet dat de aannemers dat waren, zeiden de auditors.
Het FEC leek IT-beveiligingsbeslissingen te nemen op basis van wat het agentschap wettelijk verplicht is te doen, in plaats van te overwegen wat de informatie- en informatiesystemen van het agentschap veiliger zou maken, aldus het auditrapport.
Het is belangrijk dat organisaties zich realiseren dat beveiliging niet alleen gaat om het afvinken van een lijst met richtlijnen en normen. Beheerders moeten nadenken over wat ze doen en ervoor zorgen dat hun acties in overeenstemming zijn met wat hun infrastructuur nodig heeft. Het FEC stond erop dat het beleid en richtlijnen had om zijn gegevens en netwerken te beschermen, en dat was voldoende omdat het aan een andere beveiligingsrichtlijn voldeed. Het bureau was niet gestopt om te overwegen of deze controles en beleidsmaatregelen zijn netwerk daadwerkelijk hadden beveiligd.
De slechte beveiliging van de FEC betekende dat zijn "computernetwerk, gegevens en informatie een verhoogd risico lopen op verlies, diefstal, manipulatie, onderbreking van activiteiten en andere nadelige acties", waarschuwde het rapport.
En we vragen ons af wat de aanvallers hebben gedaan waardoor de inbraak de grootste sabotagehandeling in de geschiedenis van het bureau was en welke andere bureaus in dezelfde periode mogelijk zijn getroffen. We kunnen alleen maar hopen dat andere bureaus beter hadden kunnen voldoen aan de minimale beveiligingsnormen voor zijn gegevens en netwerken.