7月にコンピューター攻撃者がエネルギー省の人事システムに侵入する前、連邦監察官は何年もの間、暗号化されていない機密データについて当局に警告し、アプリケーションの脆弱性(最終的にはハッキングにつながる失敗)を修正するよう促していた。104,179 人の機密情報、Nextgovの年次サイバーセキュリティ評価のレビューによると。
監察官特別レポート金曜日に発表された報告書は、ハッカーの既知の侵入ポイントを修正できなかったため、従業員、親族、請負業者に関する記録の主要な Rolodex である DOE 従業員データ リポジトリ (DOEInfo) への 7 月の侵入が可能になったと判断しました。部外者は、個人データの中でもとりわけ、名前、社会保障番号、銀行情報、パスワードの質問と回答を盗みました。
同報告書は、DOEInfoに接続するシステムについて、「[管理情報システム]アプリケーションをサポートする特定のソフトウェアにある重大なセキュリティ脆弱性は、何年もパッチが適用されず、強化もされていなかった」と述べている。 「既存の DOEInfo データベース テーブルで社会保障番号の不必要な使用を排除するための努力は、そうする必要性が 5 年以上前からあったにもかかわらず、行われていませんでした。」
2009 年 8 月の IG レポートでは、ハッカーの潜在的な侵入口として、ラップトップや携帯端末上の機密情報、および電子メールで送信されたデータが必ずしも暗号化されていなかったことが挙げられています。エネルギー当局は、暗号化されていないファイルをオフサイトの保管施設に送信することも許可しています。
似たようなIG評価2011 年 10 月以降、ネットワークの脆弱性が 2010 年度から 2011 年度の間に 60% 急増したことが明らかになりました。セキュリティのギャップ文書化された緩いアクセス制御やソフトウェアの欠陥が含まれていました。
今夏の襲撃事件を調査していた検査官らは、致命的な欠陥は一つも特定できなかったが、ハッカーを助けるいくつかの弱点を発見したと述べ、古いIGの報告書によると、その多くは以前に指摘されていたものだという。
最終的に、攻撃者は「インターネット上で一般的に利用可能なエクスプロイトを利用して侵入し、関連システムへの自由なアクセスを獲得し、大量のデータ、つまり多くの個人の経済的および個人的な利益を損なうために使用される可能性のある情報」を窃取したと金曜日の報告書は述べている。州。
エクスプロイトとは、以前の IG レポートで見つかったものと同様、脆弱性を利用してシステムに侵入するハッキング ツールです。
今年ハッカーを幇助、教唆した要因としては、攻撃を受けたシステムが適切な保護手段なしで Web 経由で直接アクセスでき、パッチが適用されていない脆弱性が含まれていたことが挙げられます。さらに、システムは社会保障番号を平文で保存していました。
金曜日の報告書によると、当局は「重大な、または高リスクのセキュリティ脆弱性があることがわかっているにもかかわらず、システムの稼働を許可していた」という。 「同省は、パッチ適用、システム拡張、またはアップグレードを通じて、システム上の既知の脆弱性を修復するための適切な措置を講じていませんでした。」
2011 年の評価によると、本社を含む 25 の施設でのテストにより、32 件の新たな脆弱性と、さらに 24 件が前年から未解決のままであることが判明しました。
1年後、2012年11月監察官監査人事ソフトウェアを含む 29 の Web アプリケーションが、プログラムの変更が許可されているかどうかを定期的にチェックする「検証」を受けていないことが判明しました。
金曜日、エネルギー当局者らは、監察長官の最新の発見に対処するための作業が進行中であると述べた。同省はすべてのオンライン システムとアプリケーションを調査するとともに、不正な開示を制限するための新たな保護措置を講じています。当局によると、不要な個人情報と社会保障番号はすべて、2014年1月末までにシステムから削除されるという。また、残りの機密情報を保護するために暗号化ツールがインストールされます。
[wp_scm_comment]