國防部 (DOD) 監察長 (IG) 的一項新審計結果突顯了美國授權軍事官員和文職僱員使用的機密移動設備的隱私、安全和身份驗證實踐中的重大漏洞。這些缺陷不僅損害敏感資訊的完整性,而且還使國防部面臨潛在的漏洞和內部威脅。
IG 審計報告的經過編輯的非機密版本,國防部機密行動設備的網路安全審計表示,應對這些挑戰需要共同努力加強培訓、強制合規並實施先進的監控和庫存系統。報告中提供的建議是加強機密行動裝置計畫的網路安全態勢的關鍵路線圖,確保在日益移動和互聯的世界中保護國家安全利益。
審計的目標是確定國防部各部門是否有效實施了網路安全控制,以保護機密行動裝置以及透過這些設備存取、儲存或傳輸的敏感資訊。調查結果提出了有關係統性缺陷的令人擔憂的敘述,而這種缺陷因 COVID-19 大流行期間遠端辦公室和行動裝置使用的激增而被放大。
這些問題的發生「是因為國防部部門授權官員、機密便攜式電子設備經理和專案經理沒有準備好有效管理因 COVID-19 大流行以及從2020 年 3 月,」審計得出結論。
審計報告強調了行動裝置機密資訊保密的重大缺陷。主要問題包括加密協議應用不一致、實體安全措施薄弱以及缺乏全面的用戶培訓。機密行動設備,包括智慧型手機、筆記型電腦和平板電腦,旨在儲存、處理和傳輸敏感和機密資訊。儘管存在固有風險,但一些國防部組件未能實施基本的保障措施,例如確保加密合規性和維護最新的軟體修補程式。
國防部總督羅伯特·P·斯托奇(Robert P. Storch) 在一份聲明中表示,他“之前將網路安全威脅視為國防部管理和績效的首要挑戰”,並強調“國防部移動設備的安全對於維護國家安全、保護機密資料和確保完整性至關重要」國防部的任務。在當今的數位環境中,行動裝置是不可或缺的工具,它為國防部的工作人員提供履行職責所需的靈活性和效率。然而,它們也是網路威脅的主要目標,可能會損害數據和國家安全格局。確保這些設備的安全不僅僅是技術上的優先事項;這是一項關鍵的作戰任務,使國防部能夠安全有效地完成其任務。
審計顯示,一些設備缺乏足夠的靜態資料 (DAR) 保護,無法保護儲存的機密資料。配置了 DAR 功能的裝置對於防止裝置遺失或被盜時對敏感資訊進行未經授權的存取至關重要。然而,缺乏針對使用者的 DAR 協議標準化培訓以及這些措施的執行不一致,危及了機密資料(可能包括個人資訊和其他敏感資訊)的安全。這一缺陷引起了人們對潛在違規行為的警惕,這可能對國家安全產生嚴重影響。
該報告指出,在維護機密行動裝置的準確庫存記錄方面存在重大失誤。不完整的記錄阻礙了問責制,使得追蹤設備和防止未經授權的使用變得困難。例如,國防資訊系統局(DISA)、美國歐洲司令部(USEUCOM) 甚至美國特種作戰司令部(USSOCOM) 等部門報告稱,在記錄關鍵庫存元素(例如用戶資訊、設備序號和數據)方面存在不一致之處。
監察長表示,庫存管理的這些失誤暴露了系統性漏洞。如果沒有準確的記錄,幾乎不可能召回因過時的軟體或安全功能受損而可能面臨風險的設備。此外,無法協調庫存差異進一步加劇了風險,因為未經授權的個人可能會利用未追蹤的設備來存取敏感、機密和個人資料。
另一個明顯的缺陷在於對使用者活動的監控。持續監控設備使用情況是有效網路安全的基石,可以及早發現未經授權的存取或異常行為。報告強調,國防部的幾個部門仍未能實施強大的使用者活動監控協議。監察長表示,這種監督破壞了減輕內部威脅和及時發現違規行為的努力。
正確的身份驗證對於確保只有授權人員才能存取機密行動裝置及其包含的資訊至關重要。然而,審計發現存取控制和使用者驗證程序存在重大缺陷。
一項重要發現是使用者協議和培訓要求的執行不一致。使用者協議是概述受託管理機密設備的人員的責任和義務的重要文件。這些協議應詳細說明維護設備安全、報告事件和遵守嚴格的使用指南的協議。然而,審計發現某些組件未能確保所有使用者簽署並確認更新的協議。
此外,該報告還指出在驗證用戶存取設備的理由方面存在不足。國防部要求使用者在獲得機密行動裝置之前提供有效的任務需求。然而,模糊或缺乏文件的現象普遍存在,引發了對未經授權或不必要的訪問的擔憂。例如,某些組件接受通用理由,例如“COVID-19”,而沒有進一步說明。
另一個值得注意的身份驗證失誤涉及未能停用不活動帳戶。該報告顯示,某些組件沒有定期審查和刪除不再需要設備的使用者的存取權限。這種監督顯著增加了未經授權存取的風險,特別是在設備或帳戶在沒有合法監督的情況下保持活動狀態的情況下。
審計提出了幾項緊急建議來應對這些挑戰。其中包括更新庫存系統以包含所有強制性資料元素、進行定期審核以確保設備責任以及實施全面的使用者培訓計劃。這些建議也強調需要建立和實施強有力的存取控制措施,例如定期重新驗證使用者理由並及時停用不活動帳戶。
此外,IG 的報告呼籲用戶協議標準化,以包括所有必要的安全條款。確保所有使用者瞭解並承認這些協定對於維護安全的操作環境至關重要。還應加強培訓計劃,以涵蓋所有技術和管理要求,使用戶具備負責任地處理機密設備的知識。
最後,審計強調了持續監控和事件回應計畫的重要性。透過整合先進的監控工具和定期審查回應計劃,國防部可以更好地檢測、回應和減輕網路安全威脅。
監察長提出了 40 項建議來解決其審計結果,包括 DISA、USEUCOM 和 USSOCOM 授權官員對其機密行動裝置計畫進行審查,識別網路安全控制缺陷,並製定和實施糾正行動計畫。
令人不安的是,監察長表示,19 項建議「被認為尚未解決,因為國防資訊系統局聯合企業服務局局長沒有完全解決這些建議,而且指揮、控制、通訊和電腦/網路主任、美國特種作戰司令部首席資訊官” ,沒有對該報告做出回應,”監察長表示。 “我們將跟踪這些建議,直到管理層同意採取我們認為足以滿足建議意圖的行動,並提交足夠的文件,表明所有商定的行動均已完成。”
文章主題
|||||||
