ABD Dışişleri Bakanlığı, siber güvenlik risk programını tam olarak uygulamalı ve BT ağını ve sistemlerini daha iyi korumak için 92 sayfalık ek adımlar atmalıdır. Genel Muhasebe Ofisi (GAO) tarafından hazırlanan rapor uyarıyor.
Dışişleri Bakanlığı, yaklaşık 500 bilgi sisteminin yarısından azı (%44) için yetkilendirme sürecini tamamladı ve henüz bakanlık çapında bir sürekli izleme sistemi uygulamaya koymadı.
Olumlu tarafı, departmanın risk yönetimi rollerini ve sorumluluklarını belirlemiş ve bir siber risk yönetimi stratejisi geliştirmiş olmasıdır.
Ancak raporda “departmanın gerekli risk yönetimi faaliyetlerini uygulayana kadar güvenlik kontrollerinin amaçlandığı gibi çalıştığına dair güvenceden yoksun olduğu” belirtildi. “Ayrıca, Devlet muhtemelen bilgi güvenliği açıklarının ve misyon operasyonlarını etkileyen tehditlerin tam olarak farkında değildir.”
Ve bu tehditler muhtemelen sayısızdır.
Dışişleri Bakanlığı Olağanüstü Siber Yapılacak İşlerle Karşı Karşıya
GAO’nun ABD hükümetinin siber güvenlik ve bilgi güvenliği sorunlarına ilişkin kapsamlı çalışmasının bir parçasını oluşturan raporda, yürütme eylemlerine ilişkin henüz bekleyen 15 öneri sıralandı.
Bunlardan ilki ve en önemlisi, Dışişleri Bakanlığı’nın CIO’ya, departmanın en önemli risklerini önceliklendiren departman çapında bir risk profili geliştirmesi ve sürdürmesi yönünde talimat vermesi önerisidir.
Bunu takiben Dışişleri Bakanlığı, CIO tarafından tespit edilen güvenlik açıklarını hafifletmeye yönelik planlar geliştirmeli ve ardından GAO’nun incelediği bilgi sistemlerine sahip 28 büro için büro düzeyinde risk değerlendirmeleri yapmalıdır.
Raporda, bakanlığın olay müdahale programını uygulamada, bilgi sistemi acil durum planlarını güncellemede ve test etmede ve envanter veri tabanını uygun şekilde yapılandırmada da zorluklarla karşı karşıya olduğu belirtildi.
Bazıları 13 yılı aşkın süredir kullanımda olan eski donanım ve yazılım kurulumlarının değiştirilmesi de dahil olmak üzere genel BT altyapısı güvenliğinin iyileştirilmesi esastır.
Raporda, “Buna 23.689 donanım sisteminin değiştirilmesi ve 3.102 ağ ve sunucu işletim sistemi yazılım kurulumunun değiştirilmesi de dahildir” ifadesine yer verildi.
Raporda, Dışişleri Bakanlığı CIO’sunun da ortak yönetim sorumlulukları ve zayıf iletişim nedeniyle BT sistemlerinin güvenliğinin sağlanmasında sınırlamalarla karşı karşıya olduğu belirtildi.
CIO ana ağı denetleyip standartları belirlerken, bireysel bürolar ekipman satın alma, BT sistem yönetimi ve finansman da dahil olmak üzere birçok görevi bağımsız olarak ele alır.
Raporda, bu koordinasyon eksikliğinin bilgi sistemi güvenlik görevlileri arasında gereksinimler konusunda kafa karışıklığına da yol açtığı sonucuna varıldı.
Bu eksiklikler büyük ölçüde departmanın yalıtılmış kültürünün ve CIO ile bireysel bürolar arasındaki yetersiz iletişimin bir sonucudur.
Raporda, “Devlet bu ve diğer eksiklikleri giderene kadar CIO, risk yönetimi ve olaylara müdahale de dahil olmak üzere bakanlığın siber güvenlik programını yönetme ve denetlemede zorluklarla karşı karşıya kalacak ve bakanlığın sistemleri savunmasız kalacak” uyarısında bulundu.
Bu arada, federal hükümetin yaklaşmakta olan kapanması, bir dizi kurum ve departmanda ek siber güvenlik komplikasyonlarına neden olma tehdidinde bulunurken, CISA, Kongre’nin federal hükümeti finanse etmek için bir anlaşmaya varamaması durumunda personelin %80’inden fazlasını süresiz olarak izne çıkaracağını belirtti. .
Dış Tehdit Riski Altındaki Altyapı
Rapor, 25 ABD devlet kurumunun gerçekleştirdiği başarılı saldırının ardından geldi. Çinli hackerlar Mayıs ayında Dışişleri Bakanlığı da dahil olmak üzere üst düzey yetkililere ait 60.000 e-posta çalındı.
E-posta ihlalinde, çalınan bir Microsoft hesabı (MSA) anahtarı, Storm-0558 APT’nin yetkili Azure Active Directory (AD) kullanıcıları gibi görünmek için kimlik doğrulama belirteçleri oluşturmasına ve Microsoft 365 kurumsal e-posta hesaplarına ve içinde yer alan potansiyel olarak hassas bilgilere erişim elde etmesine olanak tanıdı. .
Nisan 2022’de Dışişleri Bakanlığı, siber uzayda sorumlu hükümet davranışı normlarının şekillendirilmesine yardımcı olmak ve ABD müttefiklerinin kendi siber güvenlik programlarını desteklemelerine yardımcı olmak için bir Siber Uzay ve Dijital Politika Bürosu kurulduğunu duyurdu. ve savunma.
