Az amerikai Belbiztonsági Minisztérium újfent elbukott a biztonsági auditon

A Department of Homeland Security (DHS) felügyeleti szerve (OIG) által végzett éves vizsgálat ismét aggasztó képet festett a rendszerek biztonsági állapotáról, melynek legfőbb tanulsága, hogy a DHS elavult szoftverekkel dolgozik és nem fordít kellő figyelmet a kritikus sérülékenységek javítására, beleértve azt is, amit a WannaCry zsarolóvírus terjesztéséhez használtak ki. Donald Trump elnök a kritikus rendszerek védelméről szóló 2017 májusi rendeletében minden szövetségi szerv számára előírta a NIST keretrendszer alkalmazását. Az ebben meghatározott funkcióknak (,,Megismerés”, ,,Védelem”, ,,Esemény észlelése”, ,,Esemény kezelése” és ,,Helyreállítás”) való megfelelést a vizsgált rendszerek tekintetében 1-5-ig rangsorolták, ahol az 1-es besorolás (,,Rögtönzött”) a legalacsonyabb szintet, az 5-ös (,,Optimalizált”) besorolás, pedig az informatikai biztonsági követelményeknek való teljes körű megfelelést jelenti. Ezek közül a 4-es szintet már elégségesnek fogadják el, amit a DHS csak az ,,Megismerés” és a ,,Esemény kezelése” funkciók kapcsán ért el, a többi tekintetében azonban súlyos hiányosságokat tártak fel. Például kiderült, hogy olyan elavult szoftverek is használatban vannak, mint a Windows Server 2003, amihez már 2015 júliusa óta nem érhető el gyártói támogatás. Azonban a még támogatott programok (Windows Server 2008 és 2012) között is előfordul, hogy hiányoznak évekkel ezelőtt megjelent (2013-as és 2016-os kiadású) biztonsági frissítések. Az OIG 5 ajánlást tett a védelmi szint növeléséhez, amelynek teljesítését a DHS biztonsági felügyelője legkésőbb 2018. szeptember 20-ig vállalta.