18 stycznia 2019
Luki w zabezpieczeniach Pentagonu mogły pozwolić na atak rakietowy na USA
Najnowsze doniesienia zza oceanu bulwersują ekspertów ds. bezpieczeństwa IT. Jak wynika z ostatnich raportów dotyczących stanu zabezpieczeń Departamentu Obrony Stanów Zjednoczonych, Pentagon posiada około 266 niewdrożonych rekomendacji dotyczących cyberbezpieczeństwa, z których najstarsza znana jest od 1990 roku. Dokumenty potwierdziły brak odpowiedniej ochrony infrastruktury informatycznej, który mógł doprowadzić nawet do zneutralizowania systemu obrony przeciwrakietowej USA!
Pierwsze informacje dotyczące poważnych naruszeń bezpieczeństwa Pentagonu pojawiły się w raporcie z 10 grudnia 2018 roku (Security Controls at DoD Facilities for Protecting Ballistic Missile Defense System Technical Information). Dokument podsumował ośmiomiesięczne śledztwo prowadzone przez biuro Generalnego Inspektora Pentagonu dotyczące krajowego systemu obrony przeciwrakietowej. Jak czytamy w dokumencie: „armia, czy marynarka wojenna nie chroniły sieci i systemów, które przetwarzają, przechowują i przekazują informacje techniczne dotyczące obrony przed pociskami balistycznymi przed nieuprawnionym dostępem i wykorzystaniem”. Niedociągnięcia mogły doprowadzić do ujawnienia tajnych informacji oraz pozwolić przeciwnikom Stanów na przeprowadzenie ataku rakietowego na kraj. Niektóre z audytowanych instytucji nie spełniały podstawowych zasad bezpieczeństwa cybernetycznego, tj. instalacji kamer bezpieczeństwa w celu monitorowania osób wchodzących i wychodzących do pomieszczeń zawierających informacje o pociskach balistycznych, braku zamków do niektórych serwerowni lub trzymania do nich kluczy w otwartych szafkach. Ponadto, w raporcie stwierdzono, że pracownicy i kontrahenci Departamentu mogli zbierać poufne informacje za pomocą pendrive’ów podpinanych do służbowych komputerów. Co istotne, audyt wykazał, że nawet najbardziej pilne i ważne usterki zostały zlekceważone przez Departament. Jedna z tzw. krytycznych usterek, była sygnalizowana już w… 1990 roku!
- Przyznam szczerze, że czytając doniesienia na ten temat dosłownie czułem jak stopniowo opada mi szczęka. Szok! Pentagon, synonim armii amerykańskiej, instytucja wydająca się być niezdobytą twierdzą, okazuje się nie spełniać elementarnych wymogów cyberbezpieczeństwa. Źle zabezpieczone serwery (z poufnymi informacjami)? Check! Nierozwiązane podatności sięgające lata wstecz? Check! Administratorzy nieświadomi zagrożeń w swoich sieciach? Check! Dla przypomnienia, mówimy tu o największej machinie wojennej naszych czasów. Machinie zdolnej wymazać ludzką cywilizację naciskając na przysłowiowy „czerwony guzik”, który niestety nie wydaje się być już tak niesamowicie zabezpieczony, jak pokazują to hollywoodzkie hity. Rzeczywistość okazuje się diametralnie, wręcz przerażająco inna, a sam Pentagon sprawia wrażenie kolosa na glinianych nogach.
Jarosław Mackiewicz
kierownik ds. audytów w firmie DAGMA
Drugi raport dotyczący bezpieczeństwa Departamentu Obrony został wydany 9 stycznia br. Dokument dotyczył audytu zgodności Pentagonu z Narodowym Instytutem Standardów i Technologii, odpowiadającym za ustalanie i wdrażanie wytycznych w zakresie cyberbezpieczeństwa. Okazało się, że raport potwierdził występowanie aż 266 luk dotyczących zabezpieczeń Departamentu, z których 39 pozostaje nierozwiązanych aż do dziś.
- Jeden smutny wniosek nasuwa się sam – skoro audyt w Pentagonie wykazał takie rażące niedopatrzenia, to co mógłby wykryć w naszych rodzimych instytucjach?
Jarosław Mackiewicz
Trochę światła na tę sprawę rzuca Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która ma zadbać o ciągłość działania strategicznej infrastruktury w Polsce. Nowe przepisy bowiem narzucają obowiązek audytowania systemów informacyjnych w kluczowych sektorach, takich jak energetyka czy ochrona zdrowia. To stanowi pierwszy krok do zrozumienia istniejących zagrożeń i podniesienia ogólnego poziomu bezpieczeństwa polskich firm.
Informacje dla Dagmy (widoczne tylko z firmowych adresów IP)