ИТ-безопасность агентств США так и не улучшилась

комментировать
версия для печати

Еще месяц назад Счетная палата США (GAO, Government Accountability Office) раскритиковала Комиссию по ценным бумагам (SEC, Securities and Exchange Commission).

В результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью. Таким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличия соответствующих процедур, сама оказалась уязвима к финансовому мошенничеству и неточностям в финансовой отчетности.

Исходя из уже имеющегося опыта, результаты нового отчета GAO, на этот раз посвященному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавляющее большинство проверенных организаций, хотя и повысили уровень ИТ-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.

Важно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. С формальной точки зрения, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA (Federal Information Security Management Act), который был принят в 2002 году.

Проверив 24 агентства, GAO смогла выделить пять основных типов уязвимостей в системе ИТ-безопасности:

— слабый контроль над доступом к данным;
— слабый контроль над изменением программного обеспечения;
— проблемы с распределением и выделением ролей и обязанностей;
— отсутствие непрерывности планирования операций;
— отсутствие программ ИТ-безопасности масштаба целого агентства.

Каждая из этих брешей является типовой. Например, в ИТ-инфраструктуре Министерств Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел были обнаружены все пять уязвимостей, передает InfoWatch.

Другие