Armia i Służby
Raport: Mimo postępów, powracają stare problemy
Generalny Inspektorat Departamentu Obrony USA (DoD) w najnowszym raporcie dotyczącym kwestii cyberbezpieczeństwa podkreślił, że widać postęp w zmianach podejścia pracowników administracji wojskowej do samego problemu. Jednak od lat także mają pojawiać się te same zaniedbania, które znacznie wpływają na ogólny poziom bezpieczeństwa.
Jak zaznaczają twórcy raportu problemem nie ma być brak odpowiednich rozwiązań oraz ogólnej polityki cyberbezpieczeństwa obecnej w instytucjach, a kierowanie się zaimplementowanymi rozwiązaniami. Mówiąc inaczej, nie brakuje odpowiednich procedur, ale są one często nieprzystosowane do warunków panujących w rzeczywistości. To wprost ma się przekładać na nieodpowiednie zarządzanie hasłami dostępu do ważnych części sieci informatycznych oraz niebezpieczną prace w przypadku dostępu kilku osób za pomocą tego samego grupowego konta. Sama kontrola dostępu do sieci przez użytkowników też ma się zdecydowanie negatywnie przekładać na poziom bezpieczeństwa administracji.
Raport nie miał zdaniem autorów, przygotować nowych rekomendacji dotyczących rozwiązań bezpieczeństwa, ponieważ ich zdaniem takie już istnieją i administracja powinna przestać je ignorować i wprowadzić je jak najszybciej w życie. W dokumencie przedstawiono poziom zabezpieczeń oraz polityki bezpieczeństwa w Departamencie Obrony Stanów Zjednoczonych. Sprawdzano wykorzystywane oprogramowanie, dostęp użytkowników do krytycznych części systemu, monitorowanie przepływu danych w sieci oraz przekazywania informacji pomiędzy departamentami dot. cyberzagrożeń. Jak czytamy w raporcie, w niektórych częściach problem pojawiał się już przy wykorzystywaniu wielowarstwowej autoryzacji, która jest obowiązkiem każdego pracownika Departamentu Obrony. W skład tych zabezpieczeń mają wchodzić hasła, numery identyfikacyjne, ograniczony dostęp do urządzeń, token oraz biometryka. W części z departamentów miano nie przestrzegać nawet takich podstawowych i obowiązkowych procedur bezpieczeństwa.
Według raportu, Departament Obrony posiadał odpowiednie mechanizmy inwentaryzacji stanu posiadanych programów na komputerach pracowników oraz obecnych w systemie. Jednak nie posiadał polityki sprawdzającej legalność oraz licencję zastosowanych rozwiązań. W odpowiedzi na te zarzuty DoD miał powiedzieć, że wprowadza odpowiednią politykę dotyczącą licencji oprogramowania bazującą na rekomendacjach z 2014 roku. Jedynie 3 agencje działające w strukturach departamentu miały posiadać odpowiednie zapisy dotyczące licencji aplikacji.
Wprowadzenie globalnej polityki licencjonowania programów ma według raportu poprawić wiedzę na temat używanych rozwiązań, wyeliminować rozwiązania nieużywane oraz zapobiec kupowaniu dubli oraz niepotrzebnych rozwiązań.
Czytaj też: Nowe regulacje i oprogramowanie wzmocnią operacje elektromagnetyczne armii USA