חקירת הפריצה למשרד האנרגיה האמריקני, שארעה ביולי 2013, ובמהלכה נחשפו פרטיהם האישיים של לא פחות מ-104,000 עובדים בעבר ובהווה של המשרד, מצביעה על. . .
עוד עולה, כי משרד האנרגיה כשל לעמוד בסטנדרטים המקובלים בתעשייה ובגופי הממשלה לא רק בכל הנוגע להצפנת מידע רגיש, אלא גם בכך שהשתמש במספרי ביטוח לאומי (מקביל לתעודות זהות) כנתון מזהה והפעיל מערכות שנעדרו עדכוני אבטחה קריטיים והריצו תוכנות מיושנות. המדהים ביותר בפריצה זו הוא שעדכון תוכנה שעלותו 4,200 דולר, שנקנה על ידי המשרד במארס 2013, ואשר התקנתו הייתה מונעת את הפרצה, לא הותקן ושכב סתם כך בסביבת ניסוי. והנזק מהפריצה? מוערך בסכום של לפחות 3.7 מליון דולר.
המבקר הראשי של משרד האנרגיה, ג'ורג' פרידמן, מתח ביקורת חריפה על כך ש: "חרף סימני האזהרה המוקדמים כי מערכות מסוימות המכילות מידע אישי של עובדים נמצאות בסיכונן, המשרד לא נקט בפעולות הנדרשות על מנת להגן על מידע זה של עובדיו בעבר ובהווה, לרבות של עובדי קבלן וצד ג' המספקים לו שירותים".
בנוסף לליקויים בהתקנת טלאים והצפנת מידע אישי, דוח הביקורת מדגיש כי המנהלים הבכירים בתחום ה-IT והכספים, שהם הבעלים של שתי המערכות המרכזיות במשרד האנרגיות, ידעו מעט מאוד האחד על המערכת של עמיתו. שתי המערכות, למרות שהיו בעלות קישוריות, לא שולבו בצורה מאובטחת.
היעדרם של עדכוני אבטחה של היצרנים השונים, אפילו על עמדת קצה אחת, מהווה נתיב חדירה קל ומועדף להאקרים, העלולים לנצל אותו לשלל מטרות. איתור פערים בהתקנת עדכונים לכלל הרכיבים של מערכות המידע הארגוניות, מצריך מבדקי שרתים ועמדות קצה המבוצע במקצועיות וביסודיות. כנדבך משלים, יש לכתוב נהלי אבטחה מקצועיים המתייחסים לסוגיית התקנת טלאי ועדכוני אבטחה. נשמח לשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן