Watchdog, Pentagon'un birkaç siber güvenlik girişiminde geride olduğunu tespit etti

Savunma Bakanlığı, bazı içsel siber güvenlik girişimlerinde geride kaldı, bazılarının tamamlanmasından yıllar sonra, bir gözlemci bulundu.

Hükümet Sorumluluk Ofisi raporunda, "DOD'un Siber Hijyeni İyileştirmek için Kararlı Eylemler Yapması Gerekiyor" başlıklı 13 Nisan tarihli raporda, Pentagon'un üç büyük iç siber güvenlik içinde ortaya konan çok sayıda temel siber güvenlik uygulaması uygulamadığı için Pentagon'un artan siber güvenlik riski ile karşı karşıya olduğu uyarısı yapıldı girişimler.

GAO yetkilileri, “Genel olarak, DOD siber hijyen girişimlerini tamamlayana ve siber uygulamaların uygulanmasını sağlayana kadar departman, başarılı bir saldırı riskiyle karşı karşıya kalacaktır” diye yazdı.

GAO üç DoD girişimini değerlendirdi: DOD Siber Güvenlik Kültür ve Uyum Girişimi (DC3I), Siber Güvenlik Disiplin Uygulama Planı (CDIP) ve Siber Bilinçlendirme eğitimi.

Siber eğitim, eğitim ve siber operasyonel uygulamalara entegre etmeyi amaçlayan DC3I girişimi, 2016 mali yılı sonunda uygulanması beklenen 11 görevi içeriyordu. Ancak GAO, görevlerin yedisinin hala uygulanmadığını tespit etti. . Örneğin, Ekim 2019'dan itibaren DoD bileşenleri, ABD Siber Komutanlığı tarafından önemli siber güvenlik bilgileri sağlayacak liderlik eğitimi için oluşturulmuş iki siber güvenlik eğitimi özeti almamıştır.

Bu belgeler sağlanmışsa, “diğer şeylerin yanı sıra siber raporlanabilir olayları ve olayları ve askeri operasyonları nasıl etkilediklerini nasıl anlayacaklarını, değerlendireceklerini ve yorumlayacaklarını öğrenmiş olabilirler” diye yazdı GAO.

Raporda, DoD’nin Baş Bilgi Sorumlusu ofisinin uygulanmasını sağlamak için adımlar atmadığı için kalan yedi DC3I girişiminin tamamlanmadığı da tespit edildi. Pentagon CIO yetkilileri GAO'ya bu sorumluluğun farkında olmadıklarını söyledi – ancak girişimin Aralık 2016'dan beri uygulanmasıyla görevlendirildi.

“DOD CIO, DC3I görevlerinin yerine getirilmesini sağlamak için uygun adımlar atmazsa, departman, ağlardaki kullanıcılar tarafından yapılan insan hatası nedeniyle kritik görev bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atma riski taşır.” GAO yetkilileri yazdı.

Pentagon ağlarından önlenebilir güvenlik açıklarını ortadan kaldırmaya odaklanan 17 görevli bir girişim olan DoD’ın Siber Güvenlik Disiplin Uygulama Planının birkaç parçasının durumu hakkındaki ayrıntılar karanlık. DoD CIO’nun ofisi tarafından yönetilen 10 görevden dördü tamamlanmadı. Bununla birlikte, raporda “başka hiçbir DOD varlığı rapor edilmeyecek şekilde tasarlanmadığından” yedi başka kişinin durumu bilinmiyor.

Uygulama için öncü bir bileşene sahip olmayan CDIP görevleri, e-postalardaki bağlantıları devre dışı bırakmak ve siber olay müdahale planlarının belgelenmesi ve uygun şekilde kullanılması gibi temel siber güvenlik hijyen yeteneklerini içerir. Dört göreve gelince, DoD CIO ofisi tamamlanmadı, yetkililer GAO'ya DoD bileşenleri tarafından kullanılan eski BT sistemi nedeniyle görevlerin yerine getirilmesinin zor olduğunu söyledi.

Raporda, Savunma Bakanlığı, DoD işgücü için en iyi siber güvenlik uygulamalarını öğretmeyi amaçlayan bir program olan 2018 Siber Farkındalık Mücadelesi Eğitimini tam olarak uygulamadı. Ancak DoD, departmandaki çeşitli bileşenlerin eğitimin tamamlanma oranı hakkında bilgi toplamadığını tespit etti.

Örneğin, Ordu eğitimi tamamlayan kullanıcı sayısı hakkında veri sağlayamadı. Bu arada, Deniz Kuvvetleri, Hava Kuvvetleri, Deniz Piyadeleri ve Avrupa Komutanlığı da dahil olmak üzere altı bileşen, eğitimi kimin tamamlamadığı hakkında bilgi toplamamıştır. Deniz kuvvetleri yetkilileri GAO'ya genel merkeze veri toplama ve raporlamada değer görmediklerini söylediler.

Raporda ayrıca değerlendirilen 16 bileşenden sekizi, kaç kullanıcının ağ erişiminin iptal edildiğini bilmediğini, çünkü eğitimi tamamlamadıklarını buldu.

“DOD bileşen kafaları, ilgili bileşenlerinin, kullanıcıların Siber Farkındalık Mücadelesi eğitimini tamamladığı ölçüde bilgileri doğru bir şekilde izlemesini ve rapor etmesini sağlamıyorsa – ayrıca eğitimi tamamlamaması için erişimi iptal etmişse – bileşenler, DOD kullanıcılarının departmana yönelik siber güvenlik tehditlerini ele almak için gerekli adımlar konusunda eğitildiklerini ”söyledi.

Departman ayrıca rakipler tarafından kullanılan 177 siber saldırı tekniklerini belirledi, risk düzeyine göre önceliklendirdi ve en sık saldırıları azaltmak için siber hijyen uygulamalarını serbest bıraktı. Ancak, departman ne kadar kullanıldığını bilmiyor.

GAO, “Departmandaki hiçbir bileşen veya ofis, departmanın bu koruyucu uygulamaları departman genelinde uygulama çabalarını tam olarak görebiliyor” dedi.

GAO departmana, üç siber güvenlik girişiminin tamamlandığından emin olmaktan siber hijyenin farklı yönlerinin uygulanmasının doğru bir şekilde izlenmesine ve izlenmesine kadar yedi tavsiyede bulundu.

Departman, tüm bileşenlerin Siber Farkındalık Mücadelesi eğitimini alması için tek bir öneriyle tamamen anlaştı. Mahkeme dört kişiyle kısmen anlaştı ve geri kalan iki tavsiyeyi reddetti.


Bir cevap yazın