Белый дом сообщает о всех 11 крупных правительственных нарушениях с 2023 года

Важные новости

В отчете Белого дома раскрываются сведения обо всех 11 крупных правительственных нарушениях с 2023 года

Количество инцидентов кибербезопасности, о которых сообщили федеральные агентства США, выросло на 9,9 процента в годовом исчислении (г/г) в 2023 году до 32 211, согласно новому отчету Белого дома, в котором также раскрыты подробности. о наиболее серьезных инцидентах, произошедших в правительстве.

Из общего числа инцидентов большинство (38 процентов) были классифицированы как «неправильное использование», то есть система использовалась таким образом, который нарушал правила агентства. политика приемлемого использования. В отчете говорится, что агентства имеют возможность обнаруживать нарушения политик безопасности, но не способны предотвратить это на самом деле.

Следующий по распространенности инцидент, что неудивительно, был вызван фишингом и вредоносными электронными письмами, и это был вектор, в котором наблюдался самый большой рост в годовом сопоставлении (по количеству инцидентов) с 3011 в 2022 году до 6198 в 2023 году.

5687 инциденты нельзя было классифицировать по какому-либо конкретному вектору, поэтому их неоднозначно относили к категории «другие/неизвестные». Число атак через Интернет едва увеличилось по сравнению с прошлым годом (3569 случаев), в отличие от случаев, когда оборудование вышло из строя – либо из-за небрежности, либо из-за фактической кражи. 

В отчете [PDF] не разбивается общая сумма на потери и кражи, что было бы интересно, но количество ежегодных случаев выросло с 1832 до 3135 в 2023 году.

Атаки грубой силы на сети и службы были единственным вектором, в котором было зарегистрировано более 1000 случаев (1147), но это привело к самому большому увеличению числа инцидентов в годовом исчислении по сравнению со 197 годом ранее.

В отчете Белого дома раскрываются сведения обо всех 11 крупных правительственных нарушениях с 2023 года

Но, несмотря на ежегодное увеличение числа атак, ни одна из них не была отмечена выше «среднего» в Национальной системе оценки киберинцидентов (NCISS), которая действует как CVSS для отдельных уязвимостей и оценивает инциденты в зависимости от того, насколько они могут повлиять на определенные аспекты. общества, такие как национальная и экономическая безопасность, предоставление государственных услуг и международные отношения.

Подавляющее большинство (31 621) попало в базовую категорию, что означает «крайне маловероятно», что они повлияют на общество. Только 348 из них попали в категорию «низких» – «маловероятно» повлияющих на общество, тогда как 31 был отнесен к категории «средних» – инцидентов, которые «могут повлиять» на общество. 229 случаев не содержали достаточной информации для их категоризации.

Самые важные случаи

Отдельно от степени воздействия инцидентов на США стоят «крупные инциденты». , из которых в 2023 году было зарегистрировано 11 сообщений от федеральных агентств, а также множество отчетов от департаментов здравоохранения и социальных служб, юстиции и казначейства.

Согласно М-23-03, крупный инцидент определяется как таковой, если он соответствует одному из двух описаний, дословно взятых из меморандума [PDF]:

  • Любой вероятный инцидент привести к очевидному ущербу интересам национальной безопасности, международным отношениям или экономике Соединенных Штатов, а также общественному доверию, гражданским свободам или общественному здоровью и безопасности американского народа

  • <р>Нарушение, связанное с персональными данными (PII), которые в случае их утечки, изменения, удаления или иного раскрытия могут нанести очевидный ущерб интересам национальной безопасности, международным отношениям или экономике Соединенных Штатов, или общественному доверию, гражданским свободам или общественному здоровью и безопасности американского народа

HHS

Два из 11 крупных инцидентов в 2023 году произошли в Департаменте здравоохранения и социальных служб (HHS). Первый был описан в отчете как атака с использованием вируса-вымогателя на систему, принадлежащую и эксплуатируемую подрядчиком, поддерживающим Центры Medicare и Medicaid Департамента.

Атака была специально нацелена на сетевые файловые ресурсы и привела к раскрытию персональных данных, касающихся 2,8 миллиона человек, около половины из которых к тому времени уже умерли. Были задействованы имена, адреса, даты рождения, идентификаторы Medicare и банковские реквизиты.

Поначалу это выглядело так, как будто это мог быть инцидент с MOVEit в компании Maximus, которая занимается административными услугами для Medicare и Medicaid, но этот случай затронул 8–11 миллионов человек, а не только 2,8 миллиона, и фактически не включал развертывание программы-вымогатели. 

Другой крупный инцидент HHS снова произошел по вине подрядчиков, двое из которых стали объектом нападения злоумышленников, использовавших «нулевой день» для получения доступа к системам, хранящим персональные данные. Считается, что данные 1,88 миллиона человек могли быть скомпрометированы, включая все обычные типы данных, а также, в некоторых случаях, номера социального страхования и медицинские диагнозы.

Казначейство

<р>Министерство финансов также зафиксировало два крупных инцидента в 2023 году, и первый из них можно рассматривать как два отдельных инцидента, учитывая, что он связан с раскрытием одного и того же набора данных дважды.

Объявлено Налоговой службой ( IRS) в сентябре 2022 года в результате инцидента представители общественности предоставили для скачивания формы 990-T, содержащие имена, адреса, адреса электронной почты и номера телефонов.

Это стало возможным из-за ошибки кодирования, и хотя данные были быстро удалены с общедоступного веб-сервера, ответственный поставщик не удалил данные с промежуточного сервера, который случайно увидел их опубликованными во второй раз.

Второй инцидент произошел с сотрудником Управления Генерального инспектора (OIG), который невольно передал свои учетные данные для входа после фишинга со стороны зарубежного злоумышленника, спонсируемого государством (страна не разглашается).

Их учетная запись была захвачена примерно на 15 часов, и они могли получить доступ ко всем видам файлов, но они были загружены до того, как в уравнение удалось внести какое-либо постороннее движение или вредоносное ПО.

Justice< /h3>

Министерство юстиции стало объектом двух успешных атак с использованием программ-вымогателей в 2023 финансовом году, первая из которых была нацелена на компьютер Службы маршалов США (USMS) и раскрыла личные данные сотрудников USMS, но в остальном имела ограниченный эффект. учитывая быстрый ответ.

О втором случае, который касался поставщика, предоставляющего поддержку в области анализа данных, было предложено не так уж много подробностей. Это привело к компрометации личных и медицинских данных, и каждому пострадавшему были предложены необходимые услуги по мониторингу кредитоспособности.

Интерьер

На сайте был только один крупный случай Департамент внутренних дел, и это была полная случайность. В отчете рассказывается история авторизованного разработчика, который изменил политику безопасности системы расчета заработной платы, которая по ошибке позволила сотрудникам отдела кадров просматривать записи 36 клиентов федерального агентства.

Считается, что в результате потенциально были раскрыты личные данные около 147 000 человек, а Внутренний бизнес-центр, который эксплуатировал пострадавшую систему, также не смог провести оценку воздействия на конфиденциальность после изменений архитектуры, которые привели к инциденту. После этого были усилены внутренние процессы и обучение.

Бюро финансовой защиты потребителей

В взломе CFPB был виноват бывший сотрудник-мошенник, который отправил 14 электронных писем и две таблицы с личными данными, принадлежащими примерно 256 000 потребителям, связанным с одним финансовым учреждением.

CFPB потребовал от непослушного работник удалил электронные письма и предоставил доказательства этого удаления — требования, которые были проигнорированы. По официальной оценке, данные, включенные в эти электронные письма, не могли быть использованы для доступа к учетной записи человека или кражи личных данных, но некоторые пострадавшие лица все равно были уведомлены.

Транспорт

h3> <р>Около 237 000 человек потенциально пострадали после взлома нескольких административных систем и кражи личных данных из Системы льгот при парковке и транзите (PTBS), которая поддерживает инициативу TRANServe.

Злоумышленники получили доступ, воспользовавшись неисправленной критической уязвимостью. в безымянной

«коммерческой платформе разработки веб-приложений» и собрал такие детали, как имена, домашний и рабочий адреса, а также последние четыре цифры номеров социального страхования.

Управление кадрового менеджмента

Хотя MOVEit здесь явно не назван, Cl0p почти наверняка несет ответственность за единственный крупный инцидент OPM в 23 финансовом году. Подрядчик OPM использовал MOVEit MFT для поддержки администрирования Федерального опроса сотрудников. За этим последовал несанкционированный доступ к данным, принадлежащим примерно 632 000 сотрудников министерств юстиции и обороны.

Энергетика

Опять же, это почти наверняка был еще один инцидент, связанный с MOVEit, затронувший пилотный завод по изоляции отходов Министерства энергетики и ассоциированные университеты Ок-Ридж. Персональные и медицинские данные 34 000 бывших сотрудников Министерства энергетики, охваченных программой поддержки тех, кто мог подвергнуться воздействию опасных веществ, таких как ядерные отходы, были раскрыты.

Также пострадали около 66 000 человек из Управления науки, были раскрыты имена, даты рождения, полные или частичные номера социального страхования, паспортные данные и гражданство. ®

Новости сегодня

Последние новости