Наблюдательный орган правительства США украл более 1 ГБ явно конфиденциальных личных данных из облачных систем Министерства внутренних дел США. Хорошая новость: данные были фальшивыми и являлись частью серии тестов, призванных проверить безопасность облачной инфраструктуры департамента.

Подробно опыт описан в новый отчет генерального инспектора МВД (OIG), опубликованный на прошлой неделе.

Целью отчета было тестирование безопасности облачной инфраструктуры Министерства внутренних дел, а также его «решения по предотвращению потери данных», программного обеспечения, предназначенного для защиты наиболее конфиденциальных данных министерства от вредоносных хакеров. Испытания проводились в период с марта 2022 года по июнь 2023 года, говорится в отчете OIG.

Министерство внутренних дел управляет федеральной землей, национальными парками и многомиллиардным бюджетом страны, а также размещает значительный объем данных в облаке.

Согласно отчету, чтобы проверить безопасность облачной инфраструктуры Министерства внутренних дел, OIG использовало онлайн-инструмент под названием Мокер для создания ложных личных данных, которые «показались бы действительными для инструментов безопасности министерства».

Затем команда OIG использовала виртуальную машину в облачной среде Департамента, чтобы выдать себя за «сложного злоумышленника» в своей сети, а затем применила «хорошо известные и широко документированные методы для кражи данных».

«Мы использовали виртуальную машину как есть и не устанавливали никаких инструментов, программного обеспечения или вредоносных программ, которые способствовали бы утечке данных из рассматриваемой системы», — говорится в отчете.

OIG заявило, что провело более 100 тестов в неделю, отслеживая «компьютерные журналы департамента в режиме реального времени и системы отслеживания инцидентов», и что ни одно из его тестов не было обнаружено или предотвращено службами кибербезопасности министерства.

«Наши тесты прошли успешно, поскольку Департамент не смог реализовать меры безопасности, которые могли бы предотвратить или обнаружить хорошо известные и широко используемые методы, используемые злоумышленниками для кражи конфиденциальных данных», — говорится в отчете ОГИ. «За те годы, что система размещалась в облаке, департамент ни разу не проводил необходимое регулярное тестирование системных элементов управления для защиты конфиденциальных данных от несанкционированного доступа».

ЧИТАТЬ   Сенатор Пушков напомнил о насмешках президента США Байдена над сближением России с Китаем и Ираном

Это плохая новость: недостатки в системах и практике Департамента «ставят под угрозу [personal information] для десятков тысяч федеральных служащих, которым грозит несанкционированный доступ», — говорится в докладе. ОГИ также признал, что, возможно, невозможно предотвратить проникновение «противника с хорошими ресурсами», но что с некоторыми улучшениями можно предотвратить утечку конфиденциальных данных этим злоумышленником.

Этот тест на «утечку данных» проводился в среде, контролируемой ОГИ, а не сложной правительственной хакерской группой из Китая или России. Это дает Министерству внутренних дел шанс улучшить свои системы и средства защиты, следуя ряду рекомендаций, перечисленных в отчете.

В прошлом году OIG Министерства внутренних дел создало специальную платформу для взлома паролей стоимостью 15 000 долларов США в рамках усилий по проверке паролей тысяч сотрудников министерства.

Source

От admin