Проверка системы противоракетной обороны (ПРО) США выявила многочисленные нарушения правил безопасности. Список обнаруженных недочетов включает как технические, так и организационные проблемы.

Поводом для аудита стало выступление руководителя Агентства по противоракетной обороне (АПО) в Палате представителей США в апреле 2016 года. Занимавший этот пост вице-адмирал Джеймс Д. Сайринг (James D. Syring) обеспокоился защищенностью критической инфраструктуры, которая хранит и обрабатывает данные систем ПРО. Эта информация включает, помимо прочего, результаты военно-космических исследований, инженерно-техническую документацию, спецификации и исходный код различных программ на службе ВС США.

Аудиторы изучили ситуацию на пяти случайно выбранных объектах ПРО и выпустили два доклада с выводами. Первый отчет касался подрядчиков Минобороны США и вышел в марте 2018 года. Вторая часть, где эксперты описали ситуацию в зоне ответственности самого Пентагона, появилась 10 декабря.

В обоих случаях авторы выявили серьезные проблемы — подрядчики не справились с контролем доступа, учетом и устранением уязвимостей. Касательно самого военного ведомства аудиторы заключили, что «Армия, ВМС и АПО не смогли защитить сети и системы, которые обрабатывают, хранят и передают технические данные ПРО».

Так, эксперты обнаружили, что военные не пользуются многофакторной аутентификацией. Политика безопасности АПО предписывает сотрудникам использовать для доступа к IT-инфраструктуре не только пароль, но и карту-ключ, который необходимо активировать в течение двух недель после приема на работу.

В реальности этот период растягивается на неопределенное время. Аудиторы привели в пример сотрудника, который авторизуется только по паролю на протяжении последних семи лет. На одном объекте многофакторная аутентификация в сети оказалась вообще не предусмотрена. Авторы отмечают, что это делает системы ПРО уязвимыми перед фишинговыми атаками, в результате чего злоумышленники могут перехватить контроль над системами.

На трех из пяти объектов эксперты обнаружили незакрытые уязвимости ПО, патчи к которым вышли в 2016, 2013 и даже 1990 годах. Некоторые из брешей создавали возможность удаленных атак. Аудиторы также сообщили, что как минимум на одной базе IT-служба не установила антивирус.

Сотрудники трех баз ПРО пренебрегали шифрованием данных при копировании на съемные носители, нарушая принцип воздушного зазора между сегментами инфраструктуры. По их словам, выполнить требование безопасности было невозможно из-за технической отсталости используемых систем — они не обладали необходимыми мощностями для шифрования, а на новое ПО у военных не было денег. Кроме того, руководители технически не могли контролировать соблюдение установленных правил.

В дополнение к проблемам ПО на многих объектах обнаружились проблемы физической безопасности. В двух случаях посторонние лица могли проникнуть в серверные комнаты, где стояли открытые стойки с оборудованием, что позволяло потенциальным злоумышленникам подключить к нему вредоносные устройства.

Аудиторы отмечают, что руководитель одной из этих баз не знал о необходимости закрывать стойки. В свое оправдание он заявил, что у них не бывает случайных посетителей. На втором объекте требование запирать серверы было размещено прямо на оборудовании, однако персонал игнорировал указание.

Ситуацию усугубляли огрехи в установке камер видеонаблюдения — они оставляли слепые зоны, через которые злоумышленник мог проникнуть на базы. Кроме того, многие якобы закрытые двери оказались на самом деле открытыми, персонал допускал нахождение на запретной территории людей без опознавательных бейджей, а руководство плохо контролировало список лиц, имеющих доступ к военным сетевым ресурсам.

По словам аудиторов, ИБ-руководители обследованных объектов не прокомментировали предоставленный им черновик доклада. В настоящий момент эксперты ждут ответ на опубликованную финальную версию как от ответственных за безопасность ПРО, так и от высшего командования АПО.

В 2014 году администрация США обвинила Китай в кибератаке на подрядчиков Пентагона. Двумя годами позже американское военное ведомство запустило программу отлова багов, которая позволила Пентагону закрыть тысячи уязвимостей в своем ПО.

Категории: Аналитика, Кибероборона