Улітку цього року невідомий кіберзлочинець здійснив масштабне вторгнення у мережі FEMA та CBP, що призвело до витоку конфіденційної інформації. Цю інформацію підтверджує внутрішній звіт FEMA, до якого отримав доступ телеканал CNN.
Відповідно до внутрішнього документа FEMA, інцидент тривав декілька тижнів і потребував негайних дій від керівництва ІТ-підрозділу Департаменту внутрішньої безпеки (DHS). Це сталося після того, як зловмисник отримав значний доступ до комп’ютерної мережі FEMA, що охоплює території від Нью-Мексико до Техасу й Луїзіани.
Внаслідок цього інциденту було порушено роботу Міністерства внутрішньої безпеки, яке відповідає за діяльність FEMA та CBP, і виникло питання щодо здатності відомства забезпечити безпеку даних понад 250 тисяч своїх співробітників.
Міністр внутрішньої безпеки Крісті Нойем минулого місяця оголосила про звільнення близько двадцяти працівників IT-підрозділу FEMA, включно з керівниками ІТ-напрямків. Вона звинуватила їх у «серйозних порушеннях безпеки», які дозволили «зловмиснику отримати доступ до мереж FEMA і поставити під загрозу не лише департамент, а й націю».
У своїй заяві від 29 серпня Нойем запевнила, що «жодні конфіденційні дані не були викрадені з жодної мережі DHS». Однак, згідно з документом, 10 вересня робоча група DHS разом із представниками FEMA підтвердили факт викрадення даних співробітників FEMA та CBP.
Документ, який цього тижня презентували працівникам FEMA під час офіційного оновлення інформації щодо інциденту, демонструє високий ступінь вразливості цифрових захисних систем агентства, через яку зловмисник безперешкодно проник у мережу.
Ось ключові моменти перебігу інциденту:
- У середині липня зловмисник пересувався системами FEMA, намагаючись витягти критично важливу інформацію.
- Після виявлення зламу DHS розпочало дії щодо локалізації та зупинки вторгнення.
- Станом на 5 вересня роботи з усунення наслідків інциденту продовжувалися як у DHS, так і у FEMA.
- Особа, яка стоїть за атакою, залишалася поки що невідомою.
- Офіційні коментарі від DHS та FEMA з цього приводу наразі відсутні.
Відомо, що зловмисник використовував програмне забезпечення Citrix, яке забезпечує віддалений доступ до мережі і застосовується урядовим підрядником. Такі системи часто виступають в ролі «входу» до більш чутливих ділянок мережі.
Професійні технічні медіа раніше оприлюднили документ, який детально описує технічні аспекти зламу та виявлені вразливості.
Варто зазначити, що незважаючи на заяви міністра Нойем про некомпетентність звільнених працівників FEMA, довготривалі співробітники агентства, котрі побажали залишитися неназваними, навпаки, описували керівників, що втратили посади, як «надзвичайно професійних» і наголошували на високому рівні їх кваліфікації.
Звільнення співробітників відбувалися на тлі іншої внутрішньої суперечки: декілька працівників було відправлено в адміністративну відпустку, а також розглядалося питання щодо підписання відкритого листа до Конгресу, який попереджав про те, що реорганізаційні зміни в агентстві за попередньої адміністрації послаблюють здатність реагувати на надзвичайні ситуації і створюють ризик для населення.
Крісті Нойем наголосила, що в її відомстві відбувається «очищення» FEMA, проте широкі кроки у кадровій політиці ставлять під питання, чи це справжня реформа, чи радше ширша кадрова перебудова.
Водночас США продовжують стикатися з численними кібератаками, спрямованими на їхні численні федеральні комп’ютерні системи.
Минулого тижня урядові спеціалісти з кібербезпеки видали екстрену директиву, яка вимагає від федеральних установ посилити захисні заходи у відповідь на активність передових хакерських груп. За інформацією, ці групи змогли проникнути принаймні в одне агентство в межах розвідувальної операції. Водночас, прямий зв’язок між порушенням безпеки в FEMA та цією кампанією поки не встановлено.
Цитати, які особливо підкреслюють суть ситуації:
-
«Жодні конфіденційні дані не були викрадені з жодної мережі DHS», — наголосила Крісті Нойем.
-
«Звільнені керівники FEMA були надзвичайно компетентними та їхню роботу високо цінували», — повідомили джерела FEMA, опитані телеканалом CNN.
Погрози і реакції уряду
Урядові фахівці з кібербезпеки посилюють заходи захисту федеральних мереж та систем аутентифікації після недавньої атаки. Вони звертають особливу увагу на вразливі місця, пов’язані з використанням віддаленого доступу та управлінням цифровими ідентифікаторами користувачів.
Основні напрямки роботи наразі включають:
-
проведення ретельного розслідування інциденту;
-
усунення виявлених недоліків захисту;
-
впровадження новітніх технічних рішень для запобігання подібним інцидентам у майбутньому;
-
підвищення загального рівня кібербезпеки в усіх відомствах.
Офіційних підтверджень про пряме поєднання останнього злому мереж FEMA з іншими кібератаками на даний момент немає, однак безпека інформаційних систем залишається пріоритетним питанням для керівництва агентств і незалежних експертів.
