ИТ-безопасность DHS не на высоте
ОПЫТ
Аудит KPMG выявил немало уязвимостей
Кэрон Карлсон
В прошлом году Министерство национальной безопасности США (DHS) поработало над заделкой дыр в своих информационных системах, которые, однако, по-прежнему недостаточно прочны, особенно в том, что касается управления ИТ-безопасностью.
Согласно отчету об аудите, проведенном летом компанией KPMG, DHS не исправило ранее замеченные уязвимости в средствах управления доступом и системном ПО, и это ограничивает возможности ведомства в обеспечении секретности, целостности и готовности данных. Аудитор, уделивший особое внимание финансовой отчетности в DHS, констатировал, что выявленные слабости оказывают отрицательное влияние и на внутренние средства финансового контроля.
Среди наиболее серьезных проблем - контроль внутреннего доступа пользователей сети министерства. Как отголосок очень нередкой в частном секторе практики наклеивания шпаргалок с паролями, персонал DHS в ряде случаев имел доступ к секретным устройствам для тестирования и разработок через групповой или стандартный системный пароль.
В документе KPMG отмечается также, что “...часть персонала организации, лучше других разбирающаяся в ее системах, приложениях и бизнес-процессах, имеет возможность устанавливать неавторизованный доступ к некоторым из них. В итоге устройства для тестов и разработок могут подвергнуться атакам взломщиков и хакеров с целью добычи информации (например, списков паролей пользователей), которую можно использовать для попыток дальнейшего проникновения в ИТ-среду DHS”.
KPMG обнаружила, что конфигурация многих учетных записей не предусматривает автоматического завершения рабочего сеанса или блокировки соединения и что некоторые рабочие станции и серверы эксплуатируются без необходимых обновлений системы безопасности.
Годом раньше DHS предприняло ряд мер по устранению слабых мест в ИТ-безопасности, в частности провело по всему министерству учебные курсы и инструктивные занятия и начало работать над консолидацией своих ИТ-функций.
Хронические проблемы ИТ-безопасности DHS |
- Организация в масштабе ведомства процесса установки обновлений безопасности и настройки систем. Невыполнима в существующей унаследованной среде, но возможна после перевода DHS на единую инфраструктуру. - Реализация в масштабе ведомства программы обучения и инструктажа по вопросам безопасности. Осложняется текучестью персонала. - Выполнение федеральных директив по планированию мер усиления информационной безопасности. Задержки в финансировании помешали привлечению подрядчиков для модернизации Management Directives. |
Другой зоной потенциальной уязвимости DHS является недостаточное разделение обязанностей, связанных с доступом к секретным данным. KPMG отметила, что вопреки прежним рекомендациям встречаются ситуации, когда один сотрудник контролирует по нескольку критических функций, что увеличивает риск незамеченной кражи или повреждения данных. Далее, изменения в ПО должным образом не документируются, и ведомство все еще не торопится выполнять программу сертификации и аккредитации, а также заниматься специальной подготовкой администраторов и ответственных за безопасность.
DHS отреагировало на заключения KPMG сообщением, что оно приступило к реализации нескольких проектов по исправлению указанных недостатков. Тем не менее остается ряд серьезных проблем, особенно в организации процесса исправлений и обновлений безопасности в масштабе ведомства. Его ИТ-среда объединяет более 22 архитектур, и выработка единого процесса установки исправлений займет много времени.
Высокая текучесть персонала мешает развертыванию в DHS общей программы подготовки и инструктажа по ИТ-безопасности. Однако сообщается, что в прошлом году 85% пользователей систем DHS были проинструктированы по этому кругу вопросов, а 89% специалистов по ИТ-безопасности прошли курсы переподготовки.
Новый ИТ-директор DHS Скотт Чарбо, в июне сменивший на этом посту Стива Купера, уже начал унификацию ИТ-инфраструктуры DHS, утвердив две программы технического обновления. Одна из них, Enterprise Acquisition Gateway for Leading Edge, или EAGLE, охватывает ИТ-службы, включая создание и реализацию инженерных проектов, тестирование и освидетельствование систем, разработку ПО и поддержку на уровне руководства DHS. Другая, First Source, охватывает закупки аппаратуры и ПО, в том числе сетевого оборудования, продуктов для редактирования изображений, беспроводных технологий и систем для онлайнового мониторинга данных.