Секретные базы данных правительства США уязвимы к атакам

image

Теги: США, уязвимость, база данных

Министерство внутренней безопасности использует 11 уязвимых баз данных.

Десятки баз данных Министерства внутренней безопасности США, в том числе содержащие секретную и сверхсекретную информацию, являются устаревшими и уязвимыми. К такому выводу пришли эксперты американского правительства в ходе проверки IT-инфраструктуры министерства.

Согласно отчету «Оценка программы информационной безопасности Министерства внутренней безопасности в 2015 финансовом году» («Evaluation of DHS’ Information Security Program for Fiscal Year 2015»), срок «эксплуатации властями» 136 правительственных систем уже истек, что подразумевает прекращение их технического обслуживания. Несмотря на это, они по-прежнему используются, однако не получают никаких обновлений и являются уязвимыми к атакам.

По данным аудита, в 17 из 136 устаревших систем содержится информация, классифицируемая как «секретная» и «сверхсекретная». К примеру, Береговая охрана США использует 26 уязвимых баз данных, Федеральное агентство по управлению в чрезвычайных ситуациях – 25, Таможенно-пограничная служба – 14, а штаб-квартира Министерства внутренней безопасности – 11.

Секретная служба использует только две уязвимые базы данных, однако ее IT-специалисты не обеспечили достаточную защиту в других областях. Так, соответствующая проверка безопасности реализована только в 75% базах данных, содержащих секретную и сверхсекретную информацию, и только в 58%, в которых содержатся несекретные данные. Для Министерства внутренней безопасности эти показатели составляют 100% и 75% соответственно.

В ходе аудита эксперты обнаружили ряд проблем с безопасностью ПК, баз данных и браузеров. В частности были выявлены уязвимости в рабочих станциях под управлением Windows 8.1 и Windows 7, ключевое ПО (Adobe Acrobat, Adobe Reader и Oracle Java) которых не получает обновлений. Как выяснилось, сотрудники ведомства используют ненадежные пароли, недостаточные настройки безопасности и уязвимые сайты.

У Министерства внутренней безопасности есть 90 дней на то, чтобы исправить обнаруженные исследователями проблемы безопасности. Две из них уже устранены.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.