The Федеральное агентство жилищного финансирования (FHFA) Управление генерального инспектора (OIG) предупредило агентство о наличии серьезных недостатки сетевой безопасности которые делают его компьютерные системы уязвимыми для взлома, на основе «тестирования на проникновение», проведенного OIG. Это согласно отчету выданный самим FHFA OIG.
Тестирование выявило «серьёзные уязвимости», которые увеличивают вероятность успешных попыток взлома со стороны злоумышленников, а в 38-страничном отчёте подробно описаны некоторые случаи, когда в ходе тестирования удалось успешно взломать компьютерные системы безопасности FHFA.
«В одном случае мы получили доступ к привилегированной учетной записи пользователя, которая позволяла нам просматривать, редактировать или сохранять файлы на локальных дисках ноутбука или настольного компьютера любого пользователя, включая руководителей FHFA на самых высоких уровнях», — говорится в отчете. «Мы также смогли повысить учетную запись обычного пользователя до администратора домена и получить полный контроль над сетью FHFA. По сути, у нас был неограниченный доступ к инфраструктуре информационных технологий (ИТ) агентства».
В отчете недостатки безопасности характеризуются как крайне серьезные ввиду конфиденциального характера компьютерных записей FHFA.
«Сеть и системы FHFA хранят разнообразные данные и информацию, такие как финансовые отчеты и данные из Фанни Мэй и Фредди Мак, Общие решения по секьюритизации, ООО, Федеральные банки жилищного кредитованияи Управление финансов, а также персональные данные сотрудников FHFA», — говорится в отчете. «Поэтому важно, чтобы конфигурации и элементы управления были эффективными для предотвращения несанкционированного доступа к системам и информации».
Однако степень, в которой тестировщикам удалось проникнуть в компьютерные системы агентства, показывает, что выявленные уязвимости безопасности требуют немедленного внимания, поясняется в отчете.
«Ширина, глубина и потенциальное влияние недостатков сетевой безопасности — это серьезные вопросы, требующие оперативных корректирующих действий со стороны руководства FHFA», — говорится в отчете. «Соответственно, мы сообщаем о восьми выводах, связанных с выявленными недостатками контроля».
Некоторые из потенциальных последствий могут включать в себя нарушение «конфиденциальности, целостности и доступности конфиденциальной информации FHFA», включая получение персонально идентифицируемой информации, извлечение, удаление или изменение конфиденциальных данных агентства, раскрытие учетных данных, включая имена пользователей и пароли, а также взлом систем, что может помешать FHFA выполнять свою миссию.
В заключение отчета руководство FHFA ответило на каждый из индивидуальных выводов и предложило корректирующие действия, которые оно планирует предпринять. OIG рассмотрел все запланированные корректирующие действия для соответствия целям своих рекомендаций.
«В целом мы считаем, что руководство FHFA отреагировало на рекомендации в этом отчете», — заявил OIG. «Эти рекомендации останутся открытыми до тех пор, пока мы не подтвердим, что корректирующие действия были полностью выполнены. Письменный ответ FHFA в полном объеме […]».
Луис Кампудони, директор по информационным технологиям FHFA, подробно рассказал о реакции агентства на отчет.
«Я поручил Управлению технологий и управления информацией (OTIM) разработать и внедрить комплексный план по устранению недостатков рекомендаций», — написал Кампудони в OIG. «Я намерен заняться устранением основных выводов отчета, и OTIM уже инициировал несколько мер по устранению недостатков для устранения недостатков рекомендаций».
English