Госдепартамент США должен полностью реализовать свою программу рисков кибербезопасности и предпринять дополнительные шаги для лучшей защиты своей ИТ-сети и систем, 92-страничный документ отчет Главного бухгалтерского управления (GAO) предупреждает.
Государственный департамент завершил процесс авторизации менее половины (44%) своих почти 500 информационных систем и еще не внедрил общеведомственную систему непрерывного мониторинга.
Положительным моментом является то, что департамент определил роли и обязанности по управлению рисками и разработал стратегию управления киберрисками.
Однако «пока департамент не внедрит необходимые меры по управлению рисками, у него не будет уверенности в том, что его меры безопасности работают должным образом», отмечается в отчете. «Более того, штат, вероятно, не полностью осведомлен об уязвимостях и угрозах информационной безопасности, влияющих на операции миссии».
И этих угроз, вероятно, множество.
Госдепартамент сталкивается с множеством выдающихся киберзадач
В отчете, который является частью обширной работы GAO по проблемам кибербезопасности и информационной безопасности правительства США, собраны 15 рекомендаций в отношении действий исполнительной власти, которые остаются невыполненными.
Первым и главным из них является рекомендация Госдепартаменту поручить ИТ-директору разработать и поддерживать профиль рисков для всего департамента, определяя приоритетность наиболее значимых рисков департамента.
После этого Госдепартамент должен разработать планы по устранению уязвимостей, выявленных ИТ-директором, а затем провести оценку рисков на уровне бюро для 28 бюро, владеющих информационными системами, проверенными GAO.
В отчете отмечается, что департамент также сталкивается с проблемами при реализации программы реагирования на инциденты, обновлении и тестировании планов действий в чрезвычайных ситуациях информационной системы, а также правильной настройке базы данных инвентаризации.
Необходимо повысить общую безопасность ИТ-инфраструктуры, включая замену устаревшего оборудования и программного обеспечения, некоторые из которых используются более 13 лет.
«Это включает замену 23,689 3,102 аппаратных систем и XNUMX XNUMX случаев установки программного обеспечения сетевых и серверных операционных систем», — отмечается в отчете.
В докладе добавлено, что ИТ-директор Госдепартамента также сталкивается с ограничениями в обеспечении безопасности ИТ-систем из-за разделения управленческих обязанностей и плохой коммуникации.
В то время как ИТ-директор курирует основную сеть и устанавливает стандарты, отдельные бюро самостоятельно решают многие задачи, включая закупку оборудования, управление ИТ-системами и финансирование.
В отчете сделан вывод, что отсутствие координации также приводит к путанице среди сотрудников службы безопасности информационных систем относительно требований.
Эти недостатки во многом являются результатом изолированной культуры департамента и неадекватного взаимодействия между ИТ-директором и отдельными бюро.
«Пока штат не устранит эти и другие недостатки, ИТ-директор столкнется с трудностями в управлении и надзоре за программой кибербезопасности департамента, включая управление рисками и реагирование на инциденты, а системы департамента остаются уязвимыми», — предупреждается в докладе.
Между тем, надвигающееся закрытие федерального правительства грозит вызвать дополнительные проблемы с кибербезопасностью во множестве агентств и департаментов, при этом CISA заявляет, что это будет уволить более 80% сотрудников на неопределенный срок если Конгресс не сможет достичь соглашения о финансировании федерального правительства.
Инфраструктура под угрозой из-за иностранных угроз
В докладе говорится об успешной атаке 25 правительственных учреждений США Китайские хакеры — включая Государственный департамент — в мае, в результате чего кража 60,000 XNUMX электронных писем от высших должностных лиц.
В результате взлома электронной почты украденный ключ учетной записи Microsoft (MSA) позволил APT Storm-0558 подделать токены аутентификации, чтобы замаскироваться под авторизованные. Пользователи Azure Active Directory (AD), получая доступ к корпоративным учетным записям электронной почты Microsoft 365 и потенциально конфиденциальной информации, содержащейся в них.
В апреле 2022 года Госдепартамент объявил о создании Бюро киберпространства и цифровой политики помочь сформировать нормы ответственного поведения правительства в киберпространстве и помочь союзникам США поддержать их собственные программы кибербезопасности, отражая растущую важность кибербезопасности в национальной политике, экономике и обороне.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/cybersecurity-gaps-plague-state-department-gao-report
- :имеет
- :является
- :нет
- 000
- 13
- 15%
- 2022
- 23
- 25
- 28
- 500
- 60
- 7
- a
- доступ
- Учетная запись
- Бухгалтерский учет
- Учетные записи
- через
- действия
- активный
- активно
- Ad
- добавленный
- дополнительный
- адреса
- затрагивающий
- агентствах
- ДОГОВОР
- разрешено
- причислены
- среди
- an
- и
- объявило
- апрель
- APT
- МЫ
- AS
- оценки
- гарантия
- At
- атаковать
- Аутентификация
- разрешение
- уполномоченный
- знать
- было
- поведение
- Лучшая
- между
- поддерживать
- нарушение
- by
- CAN
- Вызывать
- проблемы
- CIO
- Связь
- Заполненная
- в заключении исследования, финансируемого Центрами по контролю и профилактике заболеваний (CDC) и написанного бывшим начальником полиции Вермонта
- Проводить
- замешательство
- Конгресс
- содержащегося
- (CIJ)
- контрольная
- координация
- создание
- Культура
- кибер-
- Информационная безопасность
- киберпространстве
- База данных
- Защита
- Кафедра
- ведомства
- отдел
- развивать
- развитый
- Интернет
- два
- экономику
- Предприятие
- Оборудование
- существенный
- исполнительный
- обширный
- лица
- Федеральный
- Федеральное правительство
- следующим образом
- Что касается
- иностранный
- в первую очередь
- ковать
- формы
- от
- полностью
- фонд
- финансирование
- GAO
- пробелы
- Общие
- Правительство
- государственные учреждения
- Рост
- Половина
- обрабатывать
- Аппаратные средства
- Есть
- помощь
- кашель
- HTTPS
- идентифицированный
- if
- осуществлять
- Осуществляющий
- инвентарь
- значение
- улучшение
- in
- инцидент
- реакция на инцидент
- включает в себя
- В том числе
- самостоятельно
- individual
- информация
- информационная безопасность
- Информационные системы
- Инфраструктура
- предназначенных
- инвентаризация
- изолированный
- IT
- ЕГО
- JPG
- Основные
- Отсутствие
- в значительной степени
- Лиды
- Меньше
- Вероятно
- недостатки
- надвигающийся
- Главная
- поддерживать
- управление
- управления
- многих
- маскарад
- Май..
- Microsoft
- Наша миссия
- смягчать
- Мониторинг
- БОЛЕЕ
- Более того
- самых
- должен
- мириады
- национальный
- почти
- сеть
- нормы
- отметил,
- получение
- of
- Офис
- офицеров
- чиновников
- on
- операционный
- операционная система
- Операционный отдел
- Другое
- выдающийся
- общий
- контроль
- собственный
- принадлежащих
- часть
- Чума
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- состояния потока
- положительный
- потенциально
- приоритезация
- процесс
- Профиль
- FitPartner™
- Программы
- должным образом
- для защиты
- Покупка
- достигать
- Рекомендация
- рекомендаций
- отражающий
- по
- оставаться
- отчету
- обязательный
- Требования
- ответ
- ответственности
- ответственный
- результат
- в результате
- отзывы
- Снижение
- управление рисками
- рисках,
- роли
- s
- обеспечение
- безопасность
- старший
- чувствительный
- сервер
- Наборы
- Форма
- общие
- выключение
- сторона
- значительный
- Software
- некоторые
- Персонал
- стандартов
- Область
- Государственный департамент
- заявив,
- Шаги
- украли
- Стратегия
- успешный
- система
- системы
- взять
- задачи
- Тестирование
- чем
- который
- Ассоциация
- Государство
- их
- Их
- тогда
- Эти
- этой
- те
- угрожает
- угрозы
- в
- Лексемы
- до
- обновление
- us
- Госдепартамент США
- правительство США
- использование
- Уязвимости
- Уязвимый
- предупреждает
- , которые
- в
- Работа
- бы
- лет
- еще
- зефирнет