До 25-ти февруари правителствените институции в САЩ бяха затворени. След като

Начинът, по който затварянията на правителството излагат на риск киберсигурността в САЩ

След като президентът Тръмп и 116-ият конгрес на САЩ постигнаха споразумение за временно отваряне на федералното правителство на САЩ за три седмици, се прекрати най-дългото закриване на федералното правителство в историята.


ТАКА СЕ РАЗБРА КАКВИ ПРОПУСКИ В ЗОНАТА НА КИБЕРСИГУРНОСТТА ИМА ОЦЕНКАТА НА РИСКА ЗА ТОВА МЕРОПРИЯТЕ

По време на затварянето федералните служители се считат за “съществени”, като например ФБР, администрацията по транспортната сигурност и митническата и граничната защита. Те работят без заплащане. ИТ персоналът на американското правителство в основната му част е е считан за несъществени, така че им е казано да не се появяват на работа и не получават заплати по време на изключването.

Изключването на ИТ персонал носи потенциал за деградиране на кибер-готовността

Прости задачи като актуализиране на SSL сертификати на уебсайтовете на федералното правителство не бяха изпълнени и много уебсайтове показват грешки в SSL сертификата, често предупреждавайки потребителите да не въвеждат чувствителна информация или дори да ги посещават. Ранното преброяване отпреди две седмици показа повече от 80 изтекли SSL сертификата на правителствените уебсайтове. Когато се използват читавите версии на браузъра Google Chrome е необходимо да се положат значителни усилия за посещение на уебсайт, който е снабден със SSL сертификат с изтекла валидност.

Изтеклите SSL сертификати експонират посетителите и техните сесии за атаки от типа “човек в средата”, тъй като целта на сертификатите е да осигурят сигурна комуникация от и към уебсайта, както и да докажат, че уебсайтът всъщност е това, което казва, че е. Принуждаването на потребителите да приемат изтеклите сертификати, за да извършват бизнес, води до това опасно поведение. Потребителите винаги са обучавани да „търсят зелената адресна лента и катинар“, преди да влязат в сайт с чувствителна информация. Приемането на SSL сертификатите с изтекъл срок анихилира тези крехки навици за повишаване на осведомеността на киберсигурността.

В допълнение към изтичането на SSL сертификатите, федералните системи остават уязвими по още много показатели, от които споменаваме само упдейтите.

9-ти януари беше Microsoft Patch Tuesday, в който бяха пуснати многобройни пачове, за да се адресират уязвимостите в сигурността на продуктите на Microsoft Windows и Office, намерени във всяка федерална агенция на САЩ. Тъй като е малко вероятно да бъдат приложени актуализациите на Patch Tuesday, стотици хиляди федерални машини са застрашени от тези известни уязвимости. Adobe също така е проправила две критични уязвимости в Adobe Acrobat и Reader по време на закриването на американското правителство. Тези актуализации вероятно остават бездействащи, докато служителите не се върнат на работа в понеделник.

Hits: 11