TN Hinweis: Der rücksichtslose Umgang mit Daten durch die vermeintlichen „Experten“ wurde aufgedeckt, aber kaum behoben. Datenlecks (dh Hacker) sind nicht das Hauptanliegen von Technokraten, da sie unabhängig davon, welcher kleine Teil durchgesickert ist, immer noch die ursprünglichen gesamten Daten haben, die nur von ihnen selbst analysiert werden können.
Das Department of Homeland Security verwaltet Hunderte von vertraulichen und streng geheimen Datenbanken ohne die entsprechende Autorisierung. Die Behörde ist sich nicht sicher, ob sie vertrauliche Informationen vor Cyberangriffen schützen kann.
An Prüfung Am Donnerstag veröffentlichte der Generalinspekteur mehrere Schwachstellen in den Informationssicherheitsprogrammen der Agentur.
Insbesondere betreibt die Abteilung 136-Systeme "sensitive, aber nicht klassifizierte", "Secret" und "Top Secret" mit "abgelaufenen Betriebsberechtigungen".
"Ab Juni 2015 hatte DHS 17-Systeme, die als" geheim "oder" streng geheim "eingestuft waren und ohne ATOs betrieben wurden", sagte der Generalinspekteur. „Ohne ATOs kann DHS nicht sicherstellen, dass seine Systeme ordnungsgemäß gesichert sind, um die darin gespeicherten und verarbeiteten vertraulichen Informationen zu schützen.“
Führend bei den Agenturen, die ungesicherte Datenbanken betreiben, war die Küstenwache mit 26, gefolgt von der Federal Emergency Management Agency mit 25 und dem Zoll- und Grenzschutz mit 14.
Das Hauptquartier des Heimatschutzministeriums betreibt 11 und die Transportation Security Administration betreibt 10-sensitive oder geheime Systeme mit abgelaufenen Berechtigungen.
Die Prüfung ergab auch, dass Sicherheitspatches für Computer, Internetbrowser und Datenbanken fehlten, und dass die Informationssicherheit der Agentur durch schwache Kennwörter gefährdet war.
"Wir haben auf den Windows 7-Workstations zusätzliche Sicherheitslücken in Bezug auf Adobe Acrobat, Adobe Reader und Oracle Java gefunden", sagte der Generalinspektor. "Wenn diese Sicherheitsanfälligkeiten ausgenutzt werden, können sie unbefugten Zugriff auf DHS-Daten ermöglichen."
Die Überprüfung, die vom Bundesgesetz über die Modernisierung der Informationssicherheit von 2014 vorgeschrieben wurde, ergab, dass interne Websites auch für Clickjacking-Angriffe und Sicherheitslücken zwischen Websites und Frames anfällig sind.
"Durch Cross-Site- und Cross-Frame-Scripting-Schwachstellen können Angreifer bösartigen Code in ansonsten harmlose Websites einschleusen", sagte der Generalinspekteur. "Ein Clickjacking-Angriff täuscht ein Opfer darin, ohne Benutzerkenntnisse mit bestimmten Elementen einer Ziel-Website zu interagieren und im Namen des Opfers privilegierte Funktionen auszuführen."
wpDiscuz