Доклад на американския Департамент по отбрана съобщава за сериозни пропуски в киберсигурността на балистичните ракети на САЩ. Системата на ракетите е стара и крайно незащитена за днешните ИТ възможности, пише още в доклада, цитиран от онлайн изданието ZDNet.
Проверката на главния инспекторат на Департамента е започнала през април т.г. Инспекторите са проверили пет произволни места за съхранение на балистични ракети в САЩ, които са част от системата за отбрана и трябва да предпазват американската територия от вражески ядрени ракети. Резултатите от проверката обаче не са никак добри. Те заключват, че "няма достатъчни защити на мрежите и системите, които обработват, съхраняват и предават техническа информация" за системата за отбрана с балистични ракети.
Списъкът с пропуски е впечатляващ:
Няма криптиране на данните, не се използва антивирусен софтуер, липсват системи за мултистепенна идентификация и са открити неоправени пропулки в сигурността на софтуера, които са на по 28 години. Не се спазват и процедурите за допълнителни карти за достъп и сигурност за новопостъпили служители, които продължават да използват обикновени потребителски имена и пароли без да активират системите за допълнителна идентификация. Някои от мрежите дори изобщо не поддържат такива системи и никога не са имали.
Това създава сериозни рискове за защитата на тези мрежи. На теория служител, който става жертва на онлайн измама чрез т.нар. фишинг, може да сподели потребителското си име и парола с хакери и те да получат достъп до определени елементи от мрежата.
На три от петте проверени места не са инсталирани софтуерни обновления за проблеми датиращи от 1990 г. насам. Разбира се, в доклада не се споменават много подробности, за да не се дават насоки на хакерите. Ясно е само, че се работи по решаването на откритите пропуски.
Подценена е и физическата защита на сървърите като на две места са открити машини, които са били отключени с лесен достъп. Това създава рискове от вмешателство в системите. Оправданието на администраторите било, че не знаели за този протокол за сигурност и че достъп до сървърите и без това имали само одобрени служители.
Проверяващите обаче са направили и още експерименти, включително проверка на покритието на камерите за сигурност и процеса за допускане на гости, като дори са показали фалшиви и непълни документи и са били допуснати да обикалят из засекретените сгради. Инспекторите са издали препоръки, които да се изпълнят от базите.
