Vídeo: Hackers chineses indiciados nos EUA (Outubro 2024)
A Comissão Federal de Eleições foi atingida por um enorme ataque cibernético horas após o início do desligamento do governo, de acordo com um relatório do Center for Public Integrity. O relatório da CPI afirmava que os chineses estavam por trás do "pior ato de sabotagem" dos 38 anos de história da agência.
Três funcionários do governo envolvidos na investigação confirmaram o ataque à CPI, e o FEC reconheceu o incidente em um comunicado. No entanto, o relatório da CPI não explicou por que as autoridades acreditavam que a China estava envolvida ou forneceu detalhes da invasão da rede, além do fato de que os invasores travaram vários sistemas de computadores da FEC. Quando solicitado, o FEC encaminhou o Security Watch ao Departamento de Segurança Interna e não forneceu nenhuma informação.
O fato de ocorrer um ataque durante o desligamento de 16 dias não deve ser uma grande surpresa, pois muitos especialistas em segurança avisaram que os invasores poderiam tirar proveito do pessoal de TI que está sendo dispensado para iniciar um ataque. Com menos pessoas assistindo as redes, havia muitas oportunidades para os invasores. De fato, o FEC havia concedido todos os 339 funcionários da agência, pois nenhum de seus funcionários havia sido considerado "necessário para a prevenção de ameaças iminentes" à propriedade federal, segundo a CPI.
" Alto risco" para invasões de rede
A retrospectiva é 20/20, mas o ataque ocorreu quase um ano depois que um auditor independente alertou o FEC de que sua infraestrutura de TI estava em "alto risco" de ataque. O auditor observou que, embora o FEC tivesse algumas políticas em vigor, elas não eram suficientes e eram necessárias ações imediatas para reduzir os riscos. O FEC discordou da maioria das recomendações do auditor, argumentando que seus sistemas eram seguros.
"Os sistemas de informação e informação da FEC estão em alto risco devido à decisão tomada pelos funcionários da FEC de não adotar todos os requisitos mínimos de segurança que o governo federal adotou", escreveram auditores da Leon Snead & Company em novembro de 2012.
Os problemas incluíam senhas que nunca expiraram, não foram alteradas desde 2007 ou nunca foram usadas para efetuar login. As contas desativadas permaneceram no Active Directory e os laptops emitidos pelos contratados usaram a mesma senha "facilmente adivinhada", de acordo com o relatório. Embora o FEC exigisse autenticação de dois fatores em seus sistemas de computadores, a auditoria identificou 150 computadores que poderiam ser usados para se conectar remotamente a sistemas FEC que não tinham a proteção adicional ativada. Os auditores também sinalizaram maus processos de correção e software desatualizado.
"Os controles existentes refletem o nível apropriado de segurança e o risco aceitável para apoiar a missão e proteger os dados da agência", afirmou a agência em sua resposta à auditoria.
Não está claro se os atacantes aproveitaram as senhas ruins ou qualquer outro problema sinalizado no relatório durante o ataque de outubro. Considerando que a agência rejeitou as críticas no relatório de auditoria, é provável que muitas das questões continuem sem solução a partir de outubro.
Segurança, não regulamentos
A agência precisa adotar os controles de segurança de TI do NIST no FIPS 200 e SP 800-53 e exigir que todos os contratados e fornecedores terceirizados sigam os requisitos descritos na Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA), disseram os auditores. Os contratados que trabalham com o governo federal precisam cumprir o FISMA, e só porque o FEC estava isento do FISMA não significava que os contratados estavam, disseram os auditores.
O FEC parecia estar tomando decisões de segurança de TI com base no que a agência é legalmente obrigada a fazer, em vez de considerar o que tornaria as informações e os sistemas de informação da agência mais seguros, disse o relatório de auditoria.
É importante que as organizações percebam que a segurança não é apenas marcar uma lista de diretrizes e padrões. Os administradores precisam pensar no que estão fazendo e garantir que suas ações estejam alinhadas com o que sua infraestrutura precisa. O FEC insistiu que tinha políticas e diretrizes em vigor para proteger seus dados e redes, e foi suficiente porque cumpriu uma diretiva de segurança diferente. A agência não parou para considerar se esses controles e políticas realmente tornavam sua rede segura.
A má postura de segurança do FEC significava que "sua rede de computadores, dados e informações correm um risco maior de perda, roubo, manipulação, interrupção de operações e outras ações adversas", alertou o relatório.
E ficamos imaginando o que os agressores fizeram que fez da invasão o maior ato de sabotagem da história da agência e quais outras agências podem ter sido atingidas no mesmo período. Só podemos esperar que outras agências tenham feito um trabalho melhor em atender aos padrões mínimos de segurança para seus dados e redes.
