TN Opmerking: Roekeloze omgang met gegevens door de veronderstelde "experts" is aan het licht gekomen, maar nauwelijks verholpen. Datalekken (dwz hackers) zijn niet de eerste zorg van technocraten, want wat er ook is gelekt, ze redeneren dat ze nog steeds de originele volledige gegevens hebben die alleen door henzelf kunnen worden geanalyseerd.
Het Department of Homeland Security beheert honderden gevoelige en zeer geheime databases zonder de juiste autorisatie, waardoor het bureau niet zeker weet of het 'gevoelige informatie' kan beschermen tegen cyberaanvallen.
An controleren donderdag vrijgegeven door de inspecteur-generaal vond meerdere zwakke punten in de informatiebeveiligingsprogramma's van het agentschap.
De afdeling beheert met name 136 'gevoelige maar niet-geclassificeerde', 'geheime' en 'topgeheime' systemen met 'verlopen machtigingen om te werken'.
"Vanaf juni 2015 had DHS 17-systemen geclassificeerd als 'Geheim' of 'Topgeheim' werkend zonder [autoriteiten om te werken] ATO's," zei de inspecteur-generaal. “Zonder ATO's kan DHS niet garanderen dat zijn systemen goed zijn beveiligd om gevoelige informatie die erin is opgeslagen en verwerkt te beschermen.”
Aan het hoofd van de agentschappen die onbeveiligde databases beheren, was de kustwacht met 26, gevolgd door de Federal Emergency Management Agency met 25 en douane en grensbescherming met 14.
Het hoofdkantoor van het Department of Homeland Security beheert 11 en de Transportation Security Administration beheert 10-gevoelige of geheime systemen met verlopen autorisaties.
Uit de controle bleek ook dat beveiligingspatches voor computers, internetbrowsers en databases ontbraken en dat zwakke wachtwoorden de informatiebeveiliging van het bureau kwetsbaar maakten.
"We hebben extra kwetsbaarheden gevonden met betrekking tot Adobe Acrobat, Adobe Reader en Oracle Java-software op de Windows 7-werkstations," zei de inspecteur-generaal. "Indien misbruikt, kunnen deze kwetsbaarheden ongeautoriseerde toegang tot DHS-gegevens toestaan."
De beoordeling, opgelegd door de Federal Information Security Modernisation Act van 2014, wees uit dat interne websites ook gevoelig waren voor "clickjacking" -aanvallen en "cross-site en cross-frame kwetsbaarheden".
"Cross-site en cross-frame scripting kwetsbaarheden stellen aanvallers in staat kwaadaardige code in anders goedaardige websites te injecteren," zei de inspecteur-generaal. "Een clickjacking-aanval misleidt een slachtoffer in interactie met specifieke elementen van een doelwebsite zonder medeweten van de gebruiker, waardoor bevoorrechte functionaliteit namens het slachtoffer wordt uitgevoerd."
wpDiscuz