اخترقت هيئة رقابية حكومية وكالة اتحادية أمريكية لاختبار مدى أمانها السحابي
سرقت هيئة رقابية تابعة للحكومة الأمريكية أكثر من غيغابايت من البيانات الشخصية التي تبدو حساسة من الأنظمة السحابية التابعة لوزارة الداخلية الأمريكية. الخبر السار: كانت البيانات مزيفة وجزء من سلسلة من الاختبارات للتحقق مما إذا كانت البنية التحتية السحابية للإدارة آمنة.
تم تفصيل التجربة في تقرير جديد صادر عن مكتب المفتش العام بوزارة الداخلية (OIG)، نُشر الأسبوع الماضي.
كان الهدف من التقرير هو اختبار أمان البنية التحتية السحابية لوزارة الداخلية، بالإضافة إلى “حل منع فقدان البيانات”، وهو برنامج من المفترض أن يحمي بيانات الوزارة الأكثر حساسية من المتسللين الضارين. وكتب مكتب المفتش العام في التقرير أنه تم إجراء الاختبارات في الفترة ما بين مارس 2022 ويونيو 2023.
تدير وزارة الداخلية الأراضي الفيدرالية في البلاد والمتنزهات الوطنية وميزانية بمليارات الدولارات، وتستضيف كمية كبيرة من البيانات في السحابة.
وفقًا للتقرير، من أجل اختبار ما إذا كانت البنية التحتية السحابية لوزارة الداخلية آمنة، استخدم مكتب المفتش العام أداة عبر الإنترنت تسمى Mockaroo لإنشاء بيانات شخصية مزيفة “قد تبدو صالحة لأدوات الأمان الخاصة بالوزارة”.
ثم استخدم فريق مكتب المفتش العام جهازًا افتراضيًا داخل البيئة السحابية للوزارة لتقليد “ممثل تهديد متطور” داخل شبكته، ثم استخدم بعد ذلك “تقنيات معروفة وموثقة على نطاق واسع لتسلل البيانات”.
وجاء في التقرير: “لقد استخدمنا الجهاز الظاهري كما هو ولم نقم بتثبيت أي أدوات أو برامج أو برامج ضارة من شأنها أن تسهل عملية استخراج البيانات من النظام الموضوعي”.
وقال مكتب المفتش العام إنه أجرى أكثر من 100 اختبار في الأسبوع، لمراقبة “سجلات الكمبيوتر وأنظمة تتبع الحوادث الخاصة بالوزارة الحكومية في الوقت الفعلي”، ولم يتم اكتشاف أي من اختباراته أو منعها من قبل دفاعات الأمن السيبراني التابعة للوزارة.
وجاء في تقرير مكتب المفتش العام: “نجحت اختباراتنا لأن الوزارة فشلت في تنفيذ إجراءات أمنية قادرة على منع أو اكتشاف التقنيات المعروفة والمستخدمة على نطاق واسع والتي تستخدمها جهات ضارة لسرقة البيانات الحساسة”. “في السنوات التي تمت فيها استضافة النظام في السحابة، لم تقم الإدارة مطلقًا بإجراء اختبارات منتظمة مطلوبة لضوابط النظام لحماية البيانات الحساسة من الوصول غير المصرح به.”
هذه هي الأخبار السيئة: إن نقاط الضعف في أنظمة وممارسات الوزارة “حساسة [personal information] لعشرات الآلاف من الموظفين الفيدراليين المعرضين لخطر الوصول غير المصرح به. واعترف مكتب المفتش العام أيضًا بأنه قد يكون من المستحيل إيقاف “خصم يتمتع بموارد جيدة” من الاقتحام، ولكن مع بعض التحسينات، قد يكون من الممكن إيقاف هذا الخصم من تسريب البيانات الحساسة.
تم إجراء اختبار “اختراق البيانات” هذا في بيئة خاضعة للرقابة من قبل مكتب المفتش العام، وليس من قبل مجموعة قرصنة حكومية متطورة من الصين أو روسيا. وهذا يمنح وزارة الداخلية فرصة لتحسين أنظمتها ودفاعاتها، وذلك باتباع سلسلة من التوصيات الواردة في التقرير.
في العام الماضي، قام مكتب المفتش العام التابع لوزارة الداخلية ببناء جهاز مخصص لتكسير كلمات المرور بقيمة 15000 دولار كجزء من جهد لاختبار كلمات المرور لآلاف من موظفي الوزارة.
