ארה"ב:נמלי הים בסיכון בסייבר

דו"ח של סוכנות GAO הפועלת מטעם הקונגרס האמריקאי, קובע כי נמלי הים במדינה לא עברו הערכת איומים מקצועית בכל הקשור לאיומים מכיוון עולם הסייבר

photo by: shutterstock.com

המחלקה לביטחון מולדת (DHS) לא עשתה מספיק כדי לאבטח את מערכות ה-IT שמנהלות את נמלי הים של ארה"ב, כך חושפים חוקרים מטעם הקונגרס בדו"ח חדש. מהדיווח באתר govinfosecurity עולה כי משמר החופים שכפוף ל-DHS ואחראי על אבטחת הנמלים לא ביצע הערכת סיכוני אבטחת מידע לנמלי המדינה.

"בעוד משמר החופים יזם מספר הפעילויות ותיאום אסטרטגיות כדי לשפר את האבטחה פיזית בנמלים מסויימים, הוא לא בצע הערכת סיכונים המתייחסת באופן מלא לאיומים הקשורים לסייבר, כולל נקודות תורפה והשלכות", אומר גרגורי ווילשוסן, מנהל תחום אבטחת מידע בסוכנות GAO בדו"ח שפורסם החודש (pdf).

גורמים רשמיים המייצגים את משמר החופים, יחידה של המשרד להגנת המולדת, אמרו ל-GAO כי בכוונתם לבצע הערכת סיכון כזו, אבל הם לא סיפקו פרטים כדי להראות עד כמה מהלך כזה יטפל באבטחה מקוונת. "הביטחון הפיזי של הנמל מושפע ממגוון רחב של אתגרים ואיומים הנובעים מהזירה הגלובלית של הסייבר המוסיפה ממד של מורכבות הדורש דיון ממוקד", אמר ג'ים קרומפקר, מנהל לשכת קשר בין GAO ל-DHS, בתגובה לדו"ח.

התשובה לא ספקה את ווילשוסן. "עד שמשמר החופים ישלים הערכה יסודית של סיכוני סייבר בסביבה הימית, ביכולתם של בעלי העניין לתכנן כראוי ולהקצות משאבים כדי להגן על נמלים ומתקנים ימיים אחרים תהיה מוגבלת", הוא אומר.

בכל שנה, הנמלים בארה"ב מטפלים במטען בשווי של יותר מ -1.3 טריליון דולרים וב-GAO אומרים שפעילות זו נתמכת על ידי מערכות מידע ותקשורת רגישות להתקפות סייבר. לטענת הארגון, כשלים במערכות אלו עלולים לפגוע או להפריע לפעילות בנמלים, ובכלל זה לזרימה של המסחר.

ב-GAO מצאו שתוכניות ביטחון ימיות בדרך כלל לא זיהו סיכוני אבטחת מידע פוטנציאליים. הדרכת משמר החופים לפיתוח תכניות אלה לא דרשה אלמנטים כאלו. פקידי המשרד להגנת המולדת אומרים כי הסדרה הבאה של תוכניות מעודכנות המפותחות בשנה זו תכלול דרישות אבטחה מקוונות. אבל ווילשוסן אומר כי ההדרכה המתוקנת לא יכולה להתמודד במידה מספקת עם איומי סייבר בנמלים בארה"ב בהיעדר הערכת סיכונים מקיפה.

המועצה לשיתוף מידע בגין איומי סייבר בין בעלי עניין לא פדרליים כבר לא פעילה, וב-GAO אומרים שמשמר החופים לא שכנע את בעלי העניין להקים אותה מחדש. זה מעמיד את בעלי העניין בתחום הימי בסיכון גבוה יותר היות והם לא מודעים לסיכונים ולכן לא מטפלים בהם, מסביר ווילשוסן.

במסגרת תכנית למתן מענקים הקשורים באבטחת נמלים, הסוכנות הפדרלית לניהול חירום (Federal Emergency Management ), עוד יחידת DHS, זיהתה את שיפור יכולות אבטחת המידע כתחום בעדיפות מימון בפעם הראשונה בשנת 2013. היא סיפקה הדרכה להצעות הקשורות לאבטחה מקוונת. אבל ב-GAO אומרים ש-FEMA לא נועצו במומחים בנוגע להצעות הקשורות לסייבר, בין השאר משום שהסוכנות קצצה את מספר המומחים בפנל שמבקר את ההצעות למימון. ווילשוסן אומר ש-FEMA מוגבלת ביכולתה להבטיח תכנית שתטפל ביעילות בסיכוני סייבר בנמלים בארה"ב.

המלצות

בדו"ח, שהתבקש על ידי ועדת המסחר של הסנאט, GAO ממליצים שהמשרד להגנת מולדת יכוון את משמר החופים להעריך את הסיכונים הקשורים לסייבר, וישתמש בהערכה זו כדי לעזור לפתח הנחיות ביטחון למגזר הימי וכן כדי להחליט אם יש צורך להקים מחדש את המועצה לתיאום איומים בסייבר במגזר הימי.

GAO גם ממליצים שהמשרד להגנת המולדת יכוון את FEMA לפתח נהלים כך שהם יתייעצו עם מומחי הסייבר של ה-DHS לסיוע בבדיקת מענקים, ולהשתמש בתוצאות של הערכות סיכוני סייבר אלו בתהליך ההענקה. מה-DHS מסרו לאתר כי הם מסכימים עם המלצות אלו.

You might be interested also