Vos per kelias savaites JAV vyriausybė patyrė, kas gali būti labiausiai dėl jo istorijos saugumo – ne per sudėtingą kibernetinį išpuolį ar užsienio šnipinėjimo aktą, tačiau per oficialius milijardieriaus įsakymus, turinčius menkai apibrėžtą vyriausybės vaidmenį. O nacionalinio saugumo padariniai yra gilūs.
Pirma, buvo pranešta, kad žmonės, susiję su naujai sukurtu Vyriausybės efektyvumo departamentu (DOGE), pasiekė JAV iždo kompiuterių sistemą, suteikdami jiems galimybę rinkti duomenis apie departamento maždaug 5,45 trilijoną dolerių kasmetines federalines išmokas ir potencialiai kontroliuoti departamento maždaug 5,45 trilijono USD.
Vos per kelias savaites JAV vyriausybė patyrė, kas gali būti labiausiai dėl jo istorijos saugumo – ne per sudėtingą kibernetinį išpuolį ar užsienio šnipinėjimo aktą, tačiau per oficialius milijardieriaus įsakymus, turinčius menkai apibrėžtą vyriausybės vaidmenį. O nacionalinio saugumo padariniai yra gilūs.
Pirma, buvo pranešta, kad žmonės, susiję su naujai sukurtu Vyriausybės efektyvumo departamentu (DOGE), pasiekė JAV iždo kompiuterių sistemą, suteikdami jiems galimybę rinkti duomenis apie departamento maždaug 5,45 trilijoną dolerių kasmetines federalines išmokas ir potencialiai kontroliuoti departamento maždaug 5,45 trilijono USD.
Tada mes sužinojome, kad neaiškus DOGE personalas įgijo prieigą prie JAV tarptautinės plėtros agentūros įslaptintų duomenų, galbūt nukopijuodami jį į savo sistemas. Toliau Personalo valdymo tarnyba, kurioje yra išsamūs asmeniniai duomenys apie milijonus federalinių darbuotojų, įskaitant tuos, kurie turi saugumo patikrinimus, buvo kompromituojami. Po to „Medicaid“ ir „Medicare“ įrašai buvo pažeisti.
Tuo tarpu tik iš dalies redaguoti CŽV darbuotojų vardai buvo išsiųsti per neklasifikuotą el. Pašto paskyrą. Taip pat pranešama, kad DOGE darbuotojai maitina švietimo skyriaus duomenis dirbtinio intelekto programine įranga, jie taip pat pradėjo dirbti Energetikos departamente.
Ši istorija juda labai greitai. Vasario 8 d. Federalinis teisėjas užblokavo „Doge“ komandą toliau patekti į Iždo departamento sistemas. Tačiau atsižvelgiant į tai, kad DOGE darbuotojai jau nukopijavo duomenis ir galbūt įdiegė bei modifikuota programinė įranga, neaišku, kaip tai ką nors ištaiso.
Bet kokiu atveju greičiausiai bus laikomasi kitų kritinių vyriausybės sistemų pažeidimų, nebent federaliniai darbuotojai tvirtai laikysis protokolų, saugančių nacionalinį saugumą.
Sistemos, kuri Prieiga prie mūsų tautos infrastruktūros nėra ezoterinių kūrinių – jie yra vyriausybės sinusai.
Pavyzdžiui, Iždo departamento sistemose yra techniniai brėžiniai, kaip federalinė vyriausybė perkelia pinigus, o Personalo valdymo tarnybos (OPM) tinkle yra informacijos apie tai, kas ir kokias organizacijas vyriausybė dirba ir su jais sudaro sutartis.
Tai, kas daro tokią situaciją beprecedentis, yra ne tik apimtis, bet ir puolimo būdas. Užsienio priešininkai paprastai praleidžia metus bandydami įsiskverbti į tokias vyriausybės sistemas kaip šias, naudodamiesi slaptai, kad išvengtumėte matomumo ir kruopščiai paslėptų bet kokius pasakojimus ar takelius. Kinijos vyriausybės 2015 m. OPM pažeidimas buvo reikšmingas JAV saugumo nesėkmė ir ji parodė, kaip personalo duomenys galėtų būti naudojami siekiant nustatyti žvalgybos pareigūnus ir kompromituoti nacionalinį saugumą.
Šiuo atveju išorės operatoriai, turintys ribotą patirtį ir minimalią priežiūrą procesas.
Tačiau labiausiai nerimą keliantis aspektas nėra tik suteikiama prieiga. Tai sistemingai išmontuoti saugumo priemones, kurios aptiktų ir užkirstų kelią netinkamam naudojimui, įskaitant standartinius reagavimo į įvykius protokolus, audito ir pokyčių stebėjimo mechanizmus, pašalindami karjeros pareigūnus, atsakingus už šias saugumo priemones ir pakeisdami jas nepatyrusiais operatoriais.
Iždo kompiuterinės sistemos daro tokį poveikį nacionaliniam saugumui, kad jos buvo suprojektuotos pagal tą patį principą, kuriuo vadovauja branduolinio paleidimo protokolai: nė vienas asmuo neturėtų turėti neribotos galios. Norint paleisti branduolinę raketą, reikia dviejų atskiri pareigūnų, kurie vienu metu pakeistų savo raktus, todėl keičiant kritines finansų sistemas tradiciškai reikia kelių įgaliotiems darbuotojams, dirbantiems kartu.
Šis požiūris, žinomas kaip „pareigų atskyrimas“, nėra tik biurokratinė biurokratija; Tai yra toks senas, kaip pati bankininkystė, esminis saugumo principas. Kai jūsų vietinis bankas apdoroja didelį perkėlimą, reikia dviejų skirtingų darbuotojų, kad patikrintų sandorį. Kai įmonė išduoda didelę finansinę ataskaitą, atskiros komandos turi ją peržiūrėti ir patvirtinti. Tai ne tik formalumai – jie yra būtini apsaugos priemonės nuo korupcijos ir klaidų.
Šios priemonės buvo apeinamos ar nepaisomos. Atrodo, kad kažkas rado būdą apiplėšti Fort Knoxą, tiesiog paskelbdamas, kad naujoji oficiali politika yra sudeginti visus sargybinius ir leisti neišsaugotiems vizitams į skliautą.
Nacionalinio saugumo padariniai yra stulbinantys. Senjoras Ronas Wydenas teigė, kad jo biuras sužinojo, kad užpuolikai įgijo privilegijų, leidžiančių jiems modifikuoti pagrindines Iždo departamento kompiuterių programas, kurios patikrina federalinius mokėjimus, prieigą prie užšifruotų raktų, užtikrinančių finansines operacijas, ir pakeisti audito žurnalus, kurie keičiasi įrašų sistemoje. OPM ataskaitose nurodoma, kad su DOGE susiję asmenys į tinklą prijungė neteisėtą serverį. Pranešama, kad jie taip pat moko AI programinę įrangą apie visus šiuos neskelbtinus duomenis.
Tai yra daug kritiškiau nei pradinė neteisėta prieiga. Šie nauji serveriai turi nežinomas galimybes ir konfigūracijas, ir nėra jokių įrodymų, kad šis naujas kodas buvo įgyvendintas bet kokiuose griežtuose saugumo testavimo protokoluose. Treniruotos AIS tikrai nėra pakankamai saugūs tokio tipo duomenims. Visi yra idealūs tikslai bet kuriam priešininkui, užsienio ar buitiniam priešininkui, taip pat siekiant prieigos prie federalinių duomenų.
Yra priežastis, kodėl kiekviena modifikacija-hardware ar programinė įranga-į šias sistemas pereina sudėtingą planavimo procesą ir apima modernius prieigos kontrolės mechanizmus. Nacionalinio saugumo krizė yra ta, kad šios sistemos dabar yra daug labiau pažeidžiamos pavojingų išpuolių tuo pačiu metu, kai teisėti sistemos administratoriai, apmokyti juos apsaugoti, buvo užrakinti.
Keisdami pagrindines sistemas, užpuolikai ne tik pakenkė dabartinėms operacijoms, bet ir paliko pažeidžiamumus, kuriuos būtų galima išnaudoti būsimuose išpuoliuose – tai priešininkams, tokiems kaip Rusija ir Kinija, precedento neturinčią galimybę. Šios šalys jau seniai nukreipė šias sistemas. Ir jie nenori tik rinkti intelekto – jie taip pat nori suprasti, kaip sutrikdyti šias sistemas krizės metu.
Dabar techninė informacija apie tai, kaip veikia šios sistemos, jų saugumo protokolai ir jų pažeidžiamumai dabar gali būti veikiami nežinomų šalių be įprastų apsaugos priemonių. Užuot turėję pažeisti smarkiai sustiprintas skaitmenines sienas, šios partijos gali tiesiog vaikščioti pro duris, kurios yra atidaromos, ir tada ištrinti savo veiksmų įrodymus.
Saugumo pasekmės apima tris kritines sritis.
Pirma, sistemos manipuliavimas: išorės operatoriai dabar gali pakeisti operacijas, kartu pakeisdami audito takus, kurie stebėtų jų pakeitimus. Antra, duomenų ekspozicija: ne tik prieiga prie asmeninės informacijos ir operacijų įrašų, šie operatoriai gali nukopijuoti visą sistemos architektūrą ir saugumo konfigūracijas – vienu atveju – techninį šalies federalinės mokėjimo infrastruktūros planą. Trečia, ir kritiškiausia, yra sistemos valdymo klausimas: šie operatoriai gali pakeisti pagrindines sistemas ir autentifikavimo mechanizmus, išjungdami pačias priemones, skirtas tokiems pokyčiams nustatyti. Tai daugiau nei modifikavimo operacijos; Tai keičia infrastruktūrą, kurią naudoja šios operacijos.
Norint išspręsti šiuos pažeidžiamumus, būtini trys neatidėliotini žingsniai. Pirmiausia reikia atšaukti neteisėtą prieigą ir atkurti tinkamus autentifikavimo protokolus. Toliau reikia atstatyti išsamią sistemos stebėjimą ir pokyčių valdymą, kuris, atsižvelgiant į sunkumų sutvarkant pažeistą sistemą, greičiausiai reikės visiškai atstatyti sistemos nustatymą. Galiausiai reikia atlikti išsamų auditą, susijusį su visais šiuo laikotarpiu atliktais sistemos pakeitimais.
Tai yra už politikos ribų – tai yra nacionalinio saugumo klausimas. Užsienio nacionalinės žvalgybos organizacijos greitai pasinaudos tiek chaosu, tiek naujaisiais neužtikrintumais, kad pavogtų JAV duomenis ir įdiegtų užpakalinius duris, kad būtų galima pasiekti ateityje.
Kiekviena nuolatinės neribotos prieigos diena apsunkina galimą atsigavimą ir padidina negrįžtamos žalos šioms kritinėms sistemoms riziką. Nors visam poveikiui įvertinti gali prireikti laiko, šie veiksmai rodo minimalius būtinus veiksmus, kad būtų galima atkurti sistemos vientisumą ir saugumo protokolus.
Darant prielaidą, kad kiekvienam vyriausybei vis dar rūpi.
