Bir ABD hükümeti gözlemcisi, ABD İçişleri Bakanlığı’nın bulut sistemlerinden bir gigabayttan fazla hassas görünen kişisel veriyi çaldı. İyi haber: Veriler sahteydi ve Bakanlığın bulut altyapısının güvenli olup olmadığını kontrol etmek için yapılan bir dizi testin parçasıydı.
Deney şurada ayrıntılı olarak açıklanmıştır: İçişleri Bakanlığı Genel Müfettişliği tarafından hazırlanan yeni bir rapor (OIG), geçen hafta yayınlandı.
Raporun amacı, İçişleri Bakanlığı’nın bulut altyapısının güvenliğini ve ayrıca departmanın en hassas verilerini kötü niyetli bilgisayar korsanlarından koruması gereken “veri kaybını önleme çözümü” yazılımını test etmekti. OIG’nin raporunda, testlerin Mart 2022 ile Haziran 2023 arasında gerçekleştirildiği belirtildi.
İçişleri Bakanlığı ülkenin federal arazisini, milli parklarını ve milyarlarca dolarlık bir bütçeyi yönetiyor ve önemli miktarda veriyi bulutta barındırıyor.
Rapora göre İçişleri Bakanlığı’nın bulut altyapısının güvenli olup olmadığını test etmek için OIG, adlı çevrimiçi bir araç kullandı. Mokaroo “Bakanlığın güvenlik araçları için geçerli görünecek” sahte kişisel veriler oluşturmak.
OIG ekibi daha sonra, ağı içindeki “karmaşık bir tehdit aktörünü” taklit etmek için Bakanlığın bulut ortamındaki bir sanal makineyi kullandı ve ardından “verileri sızdırmak için iyi bilinen ve geniş çapta belgelenmiş teknikleri” kullandı.
Raporda, “Sanal makineyi olduğu gibi kullandık ve söz konusu sistemden veri sızmasını kolaylaştıracak herhangi bir araç, yazılım veya kötü amaçlı yazılım yüklemedik” denildi.
OIG, haftada 100’den fazla test gerçekleştirdiğini, hükümet departmanının “bilgisayar kayıtlarını ve olay takip sistemlerini gerçek zamanlı olarak” izlediğini ve testlerden hiçbirinin bakanlığın siber güvenlik savunmaları tarafından tespit edilmediğini veya önlenmediğini söyledi.
OIG’nin raporunda, “Bakanlığın, kötü niyetli aktörlerin hassas verileri çalmak için kullandığı iyi bilinen ve yaygın olarak kullanılan teknikleri önleme veya tespit etme kapasitesine sahip güvenlik önlemlerini uygulama konusunda başarısız olması nedeniyle testlerimiz başarılı oldu” denildi. “Sistemin bir bulutta barındırıldığı yıllarda Bakanlık, hassas verileri yetkisiz erişime karşı korumak için sistem kontrollerine ilişkin gerekli düzenli testleri hiçbir zaman gerçekleştirmedi.”
Kötü haber şu: Bakanlığın sistem ve uygulamalarındaki zayıflıklar “hassasiyete neden oluyor” [personal information] Yetkisiz erişim riskiyle karşı karşıya olan on binlerce Federal çalışan için,” diye okudu raporu. OIG ayrıca “iyi kaynaklara sahip bir saldırganın” içeri girmesini engellemenin imkansız olabileceğini, ancak bazı iyileştirmelerle bu saldırganın hassas verileri sızdırmasının durdurulmasının mümkün olabileceğini de kabul etti.
Bu “veri ihlali” testi, Çin veya Rusya’dan gelen sofistike bir hükümet hack grubu tarafından değil, OIG tarafından kontrollü bir ortamda yapıldı. Bu, İçişleri Bakanlığı’na raporda sıralanan bir dizi tavsiyeyi izleyerek sistemlerini ve savunmalarını iyileştirme şansı veriyor.
Geçen yıl, İçişleri Bakanlığı’nın OIG’si, binlerce bakanlık çalışanının şifrelerini stres testine tabi tutma çabasının bir parçası olarak 15.000 dolar değerinde özel bir şifre kırma donanımı inşa etti.