Согласно новому отчету Офиса менеджмента и бюджета США (OMB), плохое управление исправлениями, неподдерживаемые системы и неадекватный контроль аутентификации сделали некоторые системы федерального правительства США открытыми для хакеров, что привело к 11 крупным инцидентам в 2023 году.
За 12-месячный период федеральные агентства сообщили о 32 211 инцидентах информационной безопасности, что почти на 10% больше, чем 29 319, зарегистрированных в 2022 финансовом году.
В отчете, подготовленном OMB в соответствии с Законом о модернизации федеральной информационной безопасности 2014 года и Законом о кибербезопасности 2015 года, наиболее распространенными векторами атак названы «неправомерное использование» и «электронная почта/фишинг» (12 261 и 6 198 инцидентов соответственно).
Не все инциденты имели значимые последствия, но 11 из них ОМВ квалифицировало как «крупные». Вот краткая информация о том, что произошло.
Оглавление
1. Дома безопаснее, чем у подрядчика?
Атака с помощью программы-вымогателя была нацелена на общие сетевые файловые ресурсы системы, принадлежащей и управляемой подрядчиком, работающим с Centers for Medicare and Medicaid Services (CMS). В результате были раскрыты персональные данные 2,8 миллиона человек (1,3 миллиона из них умершие). Скомпрометированная информация включала имена, адреса, даты рождения, идентификаторы Medicare и банковские реквизиты. В результате инцидента CMS переместила свои системы на собственную площадку и предложила жертвам бесплатный кредитный мониторинг.
2. Утечка данных HHS
В другом крупном инциденте, связанном с Department of Health & Human Services (HHS), злоумышленники атаковали двух подрядчиков, используя уязвимость нулевого дня для доступа к системам, содержащим данные HHS. Не было никаких признаков взлома систем HHS, но взлом систем подрядчиков потенциально раскрыл личную информацию 1,88 миллиона человек, хранящуюся в агентствах, включая Центры по контролю и профилактике заболеваний, Национальные институты здравоохранения и CMS. Сюда входили имена, номера социального страхования, адреса электронной почты, номера телефонов, даты рождения, медицинские диагнозы и другая информация.
3. С маршалов США требуют выкуп
В феврале 2023 года программа-вымогатель поразила компьютерную систему Службы маршалов США (USMS), содержащую личную информацию о сотрудниках и лицах, участвующих в юридических процессах, что вынудило USMS создать новую систему и восстановить данные из резервной копии. Пострадавшие лица были уведомлены и им был предложен бесплатный кредитный мониторинг.
4. Вымогатель поразил Министерство юстиции
Еще один инцидент с программой-вымогателем, на этот раз в мае 2023 года, поразил системы поставщика, предоставляющего аналитику по конкретным делам для Гражданского отдела Министерства юстиции и некоторых прокуратур США (Department of Justice’s Civil Division and some US Attorneys’ offices). В результате этой атаки были скомпрометированы личные и медицинские данные. Для расследования и устранения инцидентов была вызвана сторонняя служба реагирования на инциденты, а пострадавшим лицам были предложены услуги кредитного мониторинга.
5. Ой, они сделали это снова
В результате ошибки Служба внутренних доходов (Internal Revenue Service, IRS) непреднамеренно раскрыла личную информацию, которая уже раскрывалась в предыдущем году аналогичным образом. Предполагается, что IRS раскрывает разные доходы организаций по статье 501(c), публикуя отредактированные версии их форм декларации о доходах бизнеса, освобожденных от уплаты налогов (990-T). Он нанял подрядчика, чтобы помочь автоматизировать этот процесс, но ошибка кодирования привела к тому, что были раскрыты формы всех организаций по статье 501(c) до тех пор, пока об ошибке не было сообщено в августе 2022 года. Хотя данные были быстро удалены с общедоступного веб-сервера, они были случайно опубликованы снова с промежуточного сервера в следующем финансовом году.
6. Ничего страшного?
Управление OMB подняло шумиху вокруг инцидента, связанного с тем, что злоумышленник получил доступ к учетным данным всего лишь одного сотрудника всего на 15 часов — возможно, потому, что этот человек работал в Управлении Генерального инспектора (Office of the Inspector General, OIG), которое имеет полный доступ ко всем записям и материалам, доступные Министерству финансов, определяет, какие из них подлежат проверке или расследованию, и готовит отчеты. Благодаря глубокоэшелонированной защите OIG, спонсируемый иностранным государством участник атаки не смог получить доступ ни к каким информационным ресурсам и не смог внедрить какое-либо вредоносное ПО в течение всего времени, пока у него был доступ. Министерство финансов обновило свою политику многофакторной аутентификации, проверило конфигурации программного обеспечения и провело обучение сотрудников, чтобы предотвратить повторение подобных ситуаций.
7. Опрос нулевого дня
Офис по управлению персоналом США (US Office of Personnel Management, OPM) сообщил о серьезном инциденте, связанном с уязвимостью нулевого дня в приложении для передачи файлов (вероятно, MOVEit , хотя оно не было явно названо), используемом подрядчиком, поддерживающим опрос федеральных служащих (FEVS). В результате взлома были скомпрометированы правительственные адреса электронной почты, уникальные ссылки на опросы и коды отслеживания OPM примерно 632 000 сотрудников министерств юстиции и обороны. В ответ OPM прекратил передачу данных FEVS подрядчику, деактивировал ссылки на опросы, оценил ущерб и уведомил пострадавших лиц. В ходе оценки не было обнаружено доказательств несанкционированного доступа или манипулирования результатами опроса.
8. CFPB усиливает предотвращение потерь
Сотрудник Бюро финансовой защиты потребителей (Consumer Financial Protection Bureau)(уже не работающий в агентстве) отправил на свой личный адрес электронной почты 14 электронных писем, содержащих личную информацию, и две электронные таблицы с подробностями примерно о 256 000 клиентов одного финансового учреждения. Бывший сотрудник проигнорировал требования CFPB удалить электронные письма и прислать доказательства удаления. Официальная оценка показала, что данные не могут быть использованы для доступа к учетной записи или кражи личных данных, но на всякий случай некоторые пострадавшие были уведомлены. Кроме того, CFPB усилил технический контроль для предотвращения непреднамеренных нарушений, напомнил всем сотрудникам и подрядчикам о своей политике конфиденциальности и пересмотрел все свои процедуры управления информацией.
9. Спасибо, я лучше сам доеду
Федеральные служащие, получившие выгоду от инициативы TRANServe, возможно, пожалели о своем решении пересесть на поезд. Примерно 237 000 из них потенциально пострадали, когда злоумышленники взломали несколько административных систем и украли личные данные из Системы льгот при парковке и транзите (PTBS), которая стимулирует федеральных служащих пользоваться общественным транспортом, чтобы добраться до места работы. Злоумышленники воспользовались неисправленной критической уязвимостью в неназванной коммерческой платформе разработки веб-приложений, получив имена, домашние и рабочие адреса, а также последние четыре цифры номеров социального страхования. Министерство транспорта установило необходимые патчи на пострадавшие серверы и предложило персоналу услуги кредитного мониторинга.
10. Забытая оценка воздействия имеет большое влияние
Уполномоченный разработчик Внутреннего бизнес-центра (Interior Business Center, IBC) Министерства внутренних дел изменил политику безопасности системы расчета заработной платы, непреднамеренно позволив сотрудникам отдела кадров просматривать записи о сотрудниках 36 федеральных агентств. В результате потенциально были раскрыты персональные данные около 147 000 человек. Расследование показало, что IBC не проводило оценку воздействия на конфиденциальность после внесения изменений в свои системы, которая могла бы побудить компанию усилить внутренние процессы и обучение.
11. Обнародованы данные о радиоактивном воздействии
Министерство энергетики сообщило, что известная, но неназванная группа программ-вымогателей воспользовалась уязвимостью нулевого дня в предположительно безопасном продукте для передачи файлов, используемом Пилотным заводом по изоляции отходов (Waste Isolation Pilot Plant, WIPP) и Объединенными университетами Ок-Риджа (Oak Ridge Associated Universities, ORAU). Группа вымогателей смогла получить доступ к системам WIPP и ORAU и заявила, что украла данные, потенциально затрагивающие 34 000 человек, участвовавших в программе мониторинга здоровья бывших сотрудников Министерства энергетики, и 66 000 человек из Управления науки. Скомпрометированные данные включали имена, даты рождения, номера социального страхования и некоторую медицинскую информацию. Пострадавшие лица были уведомлены и им предоставлены услуги по мониторингу личной информации (identity monitoring services).
Однако не все новости плохие. Несмотря на увеличение количества инцидентов, связанных с безопасностью, аудит OMB отметил, что агентства улучшили принятие мер защиты. Каждое агентство выбрало корпоративную платформу EDR в соответствии с директивами OMB и расширило свои возможности обнаружения атак.
автор: Света Шарма
Источник: https://www.csoonline.com/article/2145769/11-times-the-us-government-got-hacked-in-2023.html
Что это за бесплатные услуги по мониторингу личной информации в США предоставляют всем пострадавшим от утечек и почему у нас таких нет?
Каждое агентство выбрало корпоративную EDR платформу (от CrowdStrike) и накрылось медным тазом во время неудачного обновления этой платформы.