Os Estados Unidos não correm o risco de ser confundidos com um país com sérias defesas de cibersegurança.
Apesar de ter gasto anos despejando bilhões de dólares de dólares em programas projetados para proteger agências federais contra ameaças sofisticadas, o governo recebeu na terça-feira mais um relatório abismal de segurança cibernética, descobrindo”essencialmente as mesmas falhas”presentes hoje como uma década atrás.
Sete em oito As agências dos EUA que protegeram inadequadamente informações pessoais confidenciais há dois anos continuam vulneráveis como sempre, de acordo com o relatório , que concluiu que apenas o Departamento de Segurança Interna ha d conseguiu melhorar sua postura de segurança.
O DHS recebeu sua própria nota de reprovação em 2019, apesar de ser a agência central encarregada de implementar os padrões de segurança em todo o governo federal.
O relatório, compilado pelo Comitê de Segurança Interna e Operações Governamentais do Senado, é baseado em auditorias conduzidas pelos inspetores gerais de suas respectivas agências.
As avaliações referem-se apenas aos Departamentos de Segurança Interna, Estado, Transporte, Habitação e Desenvolvimento Urbano, Agricultura, Saúde e Serviços Humanos, Educação e Administração da Previdência Social.
Muitas das descobertas são alarmantes, para dizer o mínimo.
Com relação à rede de classificados do Departamento de Estado, por exemplo, a agência falhou em produzir acordos de acesso de usuário 60 por cento das vezes. Esses acordos são considerados um requisito para acesso a redes classificadas e são assinados por funcionários para reconhecer regras de comportamento, como a exigência de relatar imediatamente a suspeita de uso indevido ou comprometimento dos sistemas. Eles também podem incluir cláusulas de não divulgação e declarações de conflito de interesses.
A rede classificada do departamento “contém dados que, se divulgados a uma pessoa não autorizada, podem causar‘ graves danos ’à segurança nacional”, afirma o relatório.
Pior ainda, o departamento não conseguiu desativar “milhares” de contas inativas. Ex-funcionários-incluindo aqueles que foram demitidos-poderiam ter usado essas contas para obter acesso a segredos de estado. As ferramentas de monitoramento de rede não teriam sido acionadas pelo acesso porque os usuários estavam, de fato, ainda autorizados.
Quando os investigadores recomendaram que as contas fossem automaticamente desativadas após dois meses de inatividade, o departamento argumentou contra isso “Citando um memorando sobre outro assunto inteiramente”, diz o relatório. O inspetor-geral avaliou em resposta que a equipe de TI da agência deve estar confusa.
“Este não foi o único exemplo em que o Estado pareceu interpretar mal uma recomendação do Inspetor-Geral”, continuou o relatório.
A postura de segurança do Departamento de Transporte parece ter piorado significativamente apenas nos últimos dois anos. O inspetor geral encontrou 250 sistemas de agências com autorizações inválidas, abrindo a agência para “perda de informações, fraude ou abuso”. Há dois anos, apenas 61 sistemas foram registrados neste estado. O departamento tem sido citado por esse mesmo problema “nos últimos onze anos fiscais”, diz o relatório.
Além disso, 87 por cento dos sistemas do departamento não tinham ferramentas básicas para avaliar as vulnerabilidades do sistema. Vulnerabilidades críticas, quando descobertas, não foram resolvidas com rapidez suficiente em 37 sistemas separados.
O Departamento de Habitação e Desenvolvimento Urbano, ou HUD, mantém”pelo menos um bilhão”de registros contendo informações pessoais de cidadãos dos EUA. Também é atormentado pelo que é conhecido como”TI sombra”-dispositivos e software conectados à sua rede sem o conhecimento da equipe de TI. Essa falta de conhecimento impede que os controles adequados sejam aplicados e deixa as portas dos fundos totalmente abertas para os hackers.
Muitos aplicativos “essenciais para a missão” usados pelo HUD “não foram modernizados nas últimas décadas”, afirma o relatório.
As redes de várias subagências dentro do Departamento de Saúde e Serviços Humanos, por sua vez, não tinham ferramentas adequadas para detectar software não autorizado instalado nos dispositivos. Descobriu-se que duas subagências não estavam usando um aplicativo desenvolvido para detectar e bloquear ataques cibernéticos, embora a lei federal o exija “por quase cinco anos”.
A auditoria mais recente dos sistemas do Departamento de Educação descobriram que vários “não tinham patches críticos, aumentando sua exposição a ataques em potencial”, resultado de um departamento de TI que “consistentemente” falhou em aplicar as regras projetadas para atenuar os ataques.
A Administração da Previdência Social, que guarda “informações confidenciais sobre cada indivíduo que recebeu um número da Previdência Social”, recebeu o equivalente a uma nota “D”. Os problemas de segurança que atormentam a agência desde pelo menos 2014 continuam sendo um problema hoje.
A lista continua.
“O que este relatório descobriu é absoluto”, escreveram os senadores, acrescentando que “não é surpresa” que o governo tenha sido repetidamente vítima de espionagem por hackers estrangeiros.
A Agência de Segurança Cibernética e de Infraestrutura, responsável por melhorar a segurança cibernética em todo o governo, solicitou cerca de US $ 700 milhões (US $ 947) milhões no ano passado para “fornecer a base tecnológica para proteger e defender a infraestrutura de TI do governo civil federal contra ameaças cibernéticas avançadas. ”
No final do ano, os investigadores descobriram que os hackers já haviam comprometido não menos que nove agências federais; um aparente ato de espionagem realizado pela inteligência russa, que provavelmente teria passado despercebido pelo governo por algum tempo, se não tivesse sido descoberto por uma empresa de segurança privada primeiro.
“A recente campanha generalizada de intrusão cibernética redes federais visadas usando recursos cibernéticos avançados que tinham o potencial de minar a infraestrutura crítica, visar nossa propriedade intelectual, roubar nossos segredos de segurança nacional e ameaçar nossas instituições democráticas ”, disse o ex-diretor em exercício da CISA, Brandon Wales, a um comitê da Câmara em março.
“Devemos agir agora e de forma decisiva para realmente defender hoje”, disse ele, “e garantir o amanhã.”
