Departamento do Interior nos EUA realiza teste de segurança em sua rede
O Escritório do Inspetor-Geral do Departamento do Interior (OIG) disse na quarta-feira que teve “muito sucesso” no acesso às redes da agência como parte de uma auditoria de segurança devido a deficiências na segurança cibernética.
Como parte de uma auditoria de segurança, os funcionários do OIG realizaram testes de penetração nas redes do Departamento do Interior e foram capazes de invadir redes e acessar informações confidenciais, incluindo interceptar e descriptografar o tráfego de rede, acessar redes internas em dois escritórios do Departamento do Interior e roubar as credenciais de um funcionário de TI da agência.
O OIG acessou as redes simulando ataques anteriores de hackers mal-intencionados para atingir agências federais, incluindo o uso de unidades de teste portáteis ocultas em mochilas e operadas por smartphones para testar as redes enquanto os funcionários do OIG estavam posicionados em áreas acessíveis ao público dos edifícios do Departamento do Interior.
O OIG observou que o teste de penetração “não foi detectado” pelo pessoal de TI e pelos guardas de segurança.
“Usamos as mesmas ferramentas, técnicas e práticas que agentes mal-intencionados usam para espionar comunicações e obter acesso não autorizado”, escreveu o OIG em um relatório detalhando os resultados da auditoria de segurança . “Muitos dos ataques que conduzimos foram usados anteriormente por agentes da inteligência russa em todo o mundo.”
Com base nas conclusões da auditoria, o OIG acusou o Gabinete do Chief Information Officer da agência de não conseguir “estabelecer e aplicar práticas de segurança sem fio” e concluiu que o Departamento do Interior não realizou testes regulares de segurança de sua rede nem manteve inventários de seus redes sem fio e publicou orientações de segurança inadequadas.
“Sem operar redes sem fio seguras que incluam controles de limites entre as redes e monitoramento ativo, o Departamento fica vulnerável à violação de um ativo de TI de alto valor, que pode paralisar as operações do Departamento e resultar na perda de dados altamente confidenciais”, escreveu o OIG .
Para evitar ataques cibernéticos bem-sucedidos, o EIG recomendou que o Departamento do Interior tomasse mais de uma dúzia de medidas para aumentar a segurança e observou na auditoria que 13 das recomendações já haviam sido resolvidas pela agência.
O Diretor de Informação do Departamento do Interior, William Vajda, respondeu a cada uma das recomendações do OIG em uma carta anexada ao relatório, escrevendo que seu escritório “apreciou trabalhar” com o OIG.
“Tenho a satisfação de informar que o Departamento não apenas concorda com todas as recomendações do Escritório do Inspetor-Geral, mas também tem cumprido substancialmente todas elas, restando apenas algumas tarefas a serem cumpridas com relação a algumas das recomendações”, Vajda escreveu ao Inspetor Geral do Departamento do Interior, Mark Lee Greenblatt.
O EIG observou no relatório que, apesar desses avanços, a agência pode fazer mais para fortalecer a segurança cibernética.
“Até que o Departamento melhore suas práticas de gestão de risco cibernético, suas redes de computadores e ativos de TI de alto valor estarão em risco de comprometimento, cujos resultados podem ter efeitos adversos sérios ou severos nas operações, ativos ou indivíduos do Departamento”, o OIG escrevi. “O Departamento começou a tomar medidas significativas para mitigar essas fraquezas, mas ainda há mais a ser feito.”
