Аудит KPMG выявил немало уязвимостей
В прошлом году Министерство национальной безопасности США (DHS) поработало над заделкой дыр в своих информационных системах, которые, однако, по-прежнему недостаточно прочны, особенно в том, что касается управления ИТ-безопасностью.

Согласно отчету об аудите, проведенном летом компанией KPMG, DHS не исправило ранее замеченные уязвимости в средствах управления доступом и системном ПО, и это ограничивает возможности ведомства в обеспечении секретности, целостности и готовности данных. Аудитор, уделивший особое внимание финансовой отчетности в DHS, констатировал, что выявленные слабости оказывают отрицательное влияние и на внутренние средства финансового контроля.

Среди наиболее серьезных проблем — контроль внутреннего доступа пользователей сети министерства. Как отголосок очень нередкой в частном секторе практики наклеивания шпаргалок с паролями, персонал DHS в ряде случаев имел доступ к секретным устройствам для тестирования и разработок через групповой или стандартный системный пароль.

В документе KPMG отмечается также, что “...часть персонала организации, лучше других разбирающаяся в ее системах, приложениях и бизнес-процессах, имеет возможность устанавливать неавторизованный доступ к некоторым из них. В итоге устройства для тестов и разработок могут подвергнуться атакам взломщиков и хакеров с целью добычи информации (например, списков паролей пользователей), которую можно использовать для попыток дальнейшего проникновения в ИТ-среду DHS”.

KPMG обнаружила, что конфигурация многих учетных записей не предусматривает автоматического завершения рабочего сеанса или блокировки соединения и что некоторые рабочие станции и серверы эксплуатируются без необходимых обновлений системы безопасности.

Годом раньше DHS предприняло ряд мер по устранению слабых мест в ИТ-безопасности, в частности провело по всему министерству учебные курсы и инструктивные занятия и начало работать над консолидацией своих ИТ-функций.

Другой зоной потенциальной уязвимости DHS является недостаточное разделение обязанностей, связанных с доступом к секретным данным. KPMG отметила, что вопреки прежним рекомендациям встречаются ситуации, когда один сотрудник контролирует по нескольку критических функций, что увеличивает риск незамеченной кражи или повреждения данных. Далее, изменения в ПО должным образом не документируются, и ведомство все еще не торопится выполнять программу сертификации и аккредитации, а также заниматься специальной подготовкой администраторов и ответственных за безопасность.

DHS отреагировало на заключения KPMG сообщением, что оно приступило к реализации нескольких проектов по исправлению указанных недостатков. Тем не менее остается ряд серьезных проблем, особенно в организации процесса исправлений и обновлений безопасности в масштабе ведомства. Его ИТ-среда объединяет более 22 архитектур, и выработка единого процесса установки исправлений займет много времени.

Высокая текучесть персонала мешает развертыванию в DHS общей программы подготовки и инструктажа по ИТ-безопасности. Однако сообщается, что в прошлом году 85% пользователей систем DHS были проинструктированы по этому кругу вопросов, а 89% специалистов по ИТ-безопасности прошли курсы переподготовки.

Новый ИТ-директор DHS Скотт Чарбо, в июне сменивший на этом посту Стива Купера, уже начал унификацию ИТ-инфраструктуры DHS, утвердив две программы технического обновления. Одна из них, Enterprise Acquisition Gateway for Leading Edge, или EAGLE, охватывает ИТ-службы, включая создание и реализацию инженерных проектов, тестирование и освидетельствование систем, разработку ПО и поддержку на уровне руководства DHS. Другая, First Source, охватывает закупки аппаратуры и ПО, в том числе сетевого оборудования, продуктов для редактирования изображений, беспроводных технологий и систем для онлайнового мониторинга данных.