Системи озброєнь, що розробляються Міністерством оборони США, є вразливими до кібератак, тобто деякий зловмисник, який має навички злому, може потенційно взяти під контроль таку зброю, не помітивши, згідно з новим звітом Міністерства уряду США (GAO), опублікованим жовтня 9.
І Міністерство внутрішніх справ здавалося, що не загрожує загрозам: Хоча випробування, проведені самим Міністерством внутрішніх справ, показали таку вразливість, чиновники відомства сказали ДАО, що вони "вважають, що їхні системи захищені, а деякі результати випробувань знизили як нереальні", згідно з повідомленням, який ґрунтується на аналізі тестів, політики та рекомендацій щодо кібербезпеки DOD, а також на співбесіді з DOD.
"Використовуючи відносно прості інструменти та методи, тестери змогли взяти під контроль системи та значною мірою функціонувати непомітно, частково через основні проблеми, такі як погане управління паролем та незашифровані комунікації", - йдеться у звіті.
Насправді одна тестова команда зламала пароль адміністратора всього за 9 секунд. Посадовець Міністерства внутрішніх справ заявив, що час зламування паролем не є корисним показником безпеки системи, оскільки зловмисник може витрачати місяці чи роки, намагаючись прорватися до системи; З цією шкалою часу, чи потрібно, щоб здогадатися про пароль, потрібно кілька годин або кілька днів. Однак, ГАО заявив, що такий приклад показує, як легко це зробити в DOD. (Провідний письменник Емілі Дрейфусс повідомив про 9-секундне злому пароля 10 жовтня.)
Аналіз та звіт були затребувані Комітетом збройних сил Сенату в очікуванні 1,66 трильйона доларів, які DOD планує витратити на розвиток свого поточного "портфеля" основних систем озброєння.
Все частіше системи озброєння залежать від програмного забезпечення для виконання своїх функцій. Зброя також пов'язана з Інтернетом та іншою зброєю, що робить їх більш досконалими, повідомляє ДАО. Ці досягнення також роблять їх "більш вразливими до кібератак", - сказали в ДАО.
Будь-яка частина системи зброї, яка керується програмним забезпеченням, може бути зламана. "Приклади функцій, включених програмним забезпеченням - і, можливо, сприйнятливі до компромісів - включають ввімкнення та вимкнення системи, націлювання на ракету, підтримку рівня кисню пілота та літаючих літаків", - йдеться у звіті GAO.
Незважаючи на те, що Міністерство внутрішніх справ почало вдосконалювати кібербезпеку протягом останніх кількох років, ГАО зазначило, що перед ним стоять декілька проблем, один з яких - відсутність обміну інформацією в рамках програм. Наприклад, "якщо система зброї зазнала кібератаку, чиновники програми DOD не надавали б конкретних деталей цієї атаки з боку розвідувальної спільноти через тип класифікації цієї інформації", - йдеться у звіті.
Крім того, у Міністерстві внутрішніх справ є важкий час найму та утримання експертів з кібербезпеки, йдеться у повідомленні.
Хоча GAO заявив, що зараз не має рекомендацій, агентство вважає, що вразливості, виявлені в його аналізі, "представляють частину загальної вразливості через обмеження тестування. Наприклад, не всі програми були протестовані і тести не відображають повний спектр погрози ».
Оригінальна стаття про Жива наука.
