דו"ח: הפנטגון מזניח את ההגנה בסייבר
דו"ח של שירות המחקר מטעם הקונגרס מגלה כי הפנטגון אינו מטמיע כראוי תכניות הגנה והגיינה בסייבר. "עד שמשרד ההגנה ישלים את יוזמות ההיגיינה בתחום הסייבר ויבטיח כי שיטות העבודה מיושמות, המשרד יעמוד בסיכון מוגבר להתקפה מוצלחת", מסכם הדו"ח
עמי רוחקס דומבה
| 14/04/2020
U.S. Army Reserve Photo by Sgt. Erick Yates
חקירת גוף הפיקוח של הקונגרס העלתה כי פרוייקטי סייבר בפנטגון מאחרים בשנים אחרי מועד הסיום הרשמי שלהם. דו"ח מה13 באפריל מטעם GAO, שכותרתו "משרד ההגנה צריך לנקוט בפעולות מכריעות לשיפור היגיינת הסייבר", הזהיר כי הפנטגון עומד בפני סיכון מוגבר לאבטחת סייבר כיוון שמשרד ההגנה לא יישם נוהלי אבטחת סייבר בסיסיים. "למשרד ההגנה היו שלוש יוזמות להיגיינת סייבר. מאמצים אלה אינם שלמים - או שמעמדם אינו ידוע מכיוון שאיש אינו אחראי לדווח על ההתקדמות", נכתב בדו"ח.
יוזמת התרבות והציות קבעה 11 משימות כוללות שצפויות להסתיים בשנת הכספים 2016. היא כוללת חינוך והדרכה ברשת, שילוב סייבר בתרגילים מבצעיים והצורך בהמלצות על שינויים ביכולות הסייבר. עם זאת, שבע משימות לא יושמו במלואן, טוען גוף הפיקוח.
תוכנית אחרת בשם Cyber Discipline כללה 17 משימות המתמקדות בהסרת פגיעויות מרשתות של משרד ההגנה אשר בדרך כלל יכולות לאפשר פריצה למערכות. מתוך 17 אלה, הCIO של משרד ההגנה אחראי על יישום עשר משימות. בעוד סגן המזכיר הציב לעצמו מטרה להשיג יישום של 90 אחוזים מעשר המשימות הללו, עד סוף שנת הכספים 2018, ארבע משימות לא יושמו. "יתרה מזאת, השלמת שאר המשימות האחרות לא הייתה ידועה מכיוון שאף גורם במחלקה לא דווח על ההתקדמות", כותבים בדו"ח.
תכנית נוספת שמטרתה העלאת מודעות בסייבר של כוח העבודה במשרד ההגנה אינה מפוקחת. "רכיבים נבחרים במחלקה אינם יודעים עד כמה המשתמשים במערכות השלימו הכשרה נדרשת זו. סקירת GAO על 16 רכיבים שנבחרו, זיהתה מידע חסר אודות משתמשי מערכת שלא השלימו את ההדרכה הנדרשת ומשתמשים שגישת הרשת שלהם בוטלה בשל אי השלמת ההדרכה", נכתב בדו"ח.
מעבר ליוזמות שלעיל, משרד ההגנה פיתח רשימות של הטכניקות בהן היריבים משתמשים בתדירות הגבוהה ביותר ומהווים סיכון משמעותי לרשתות הארגון וזיהה פרקטיקות להגנה על רשתות ומערכות המשרד מפני טכניקות אלה. "עם זאת, המשרד אינו יודע עד כמה מיושמות פרקטיקות אלה", כותבים בGAO. "העדר ידע זה נובע בחלקו מהעדר פיקוח על יישום, כך לפי גורמים במשרד ההגנה. בסך הכל, עד שהמשרד ישלים את יוזמות ההיגיינה בתחום הסייבר ויבטיח כי שיטות העבודה מיושמות, המשרד יעמוד בסיכון מוגבר להתקפה מוצלחת."
דו"ח של שירות המחקר מטעם הקונגרס מגלה כי הפנטגון אינו מטמיע כראוי תכניות הגנה והגיינה בסייבר. "עד שמשרד ההגנה ישלים את יוזמות ההיגיינה בתחום הסייבר ויבטיח כי שיטות העבודה מיושמות, המשרד יעמוד בסיכון מוגבר להתקפה מוצלחת", מסכם הדו"ח
U.S. Army Reserve Photo by Sgt. Erick Yates
חקירת גוף הפיקוח של הקונגרס העלתה כי פרוייקטי סייבר בפנטגון מאחרים בשנים אחרי מועד הסיום הרשמי שלהם. דו"ח מה13 באפריל מטעם GAO, שכותרתו "משרד ההגנה צריך לנקוט בפעולות מכריעות לשיפור היגיינת הסייבר", הזהיר כי הפנטגון עומד בפני סיכון מוגבר לאבטחת סייבר כיוון שמשרד ההגנה לא יישם נוהלי אבטחת סייבר בסיסיים. "למשרד ההגנה היו שלוש יוזמות להיגיינת סייבר. מאמצים אלה אינם שלמים - או שמעמדם אינו ידוע מכיוון שאיש אינו אחראי לדווח על ההתקדמות", נכתב בדו"ח.
יוזמת התרבות והציות קבעה 11 משימות כוללות שצפויות להסתיים בשנת הכספים 2016. היא כוללת חינוך והדרכה ברשת, שילוב סייבר בתרגילים מבצעיים והצורך בהמלצות על שינויים ביכולות הסייבר. עם זאת, שבע משימות לא יושמו במלואן, טוען גוף הפיקוח.
תוכנית אחרת בשם Cyber Discipline כללה 17 משימות המתמקדות בהסרת פגיעויות מרשתות של משרד ההגנה אשר בדרך כלל יכולות לאפשר פריצה למערכות. מתוך 17 אלה, הCIO של משרד ההגנה אחראי על יישום עשר משימות. בעוד סגן המזכיר הציב לעצמו מטרה להשיג יישום של 90 אחוזים מעשר המשימות הללו, עד סוף שנת הכספים 2018, ארבע משימות לא יושמו. "יתרה מזאת, השלמת שאר המשימות האחרות לא הייתה ידועה מכיוון שאף גורם במחלקה לא דווח על ההתקדמות", כותבים בדו"ח.
תכנית נוספת שמטרתה העלאת מודעות בסייבר של כוח העבודה במשרד ההגנה אינה מפוקחת. "רכיבים נבחרים במחלקה אינם יודעים עד כמה המשתמשים במערכות השלימו הכשרה נדרשת זו. סקירת GAO על 16 רכיבים שנבחרו, זיהתה מידע חסר אודות משתמשי מערכת שלא השלימו את ההדרכה הנדרשת ומשתמשים שגישת הרשת שלהם בוטלה בשל אי השלמת ההדרכה", נכתב בדו"ח.
מעבר ליוזמות שלעיל, משרד ההגנה פיתח רשימות של הטכניקות בהן היריבים משתמשים בתדירות הגבוהה ביותר ומהווים סיכון משמעותי לרשתות הארגון וזיהה פרקטיקות להגנה על רשתות ומערכות המשרד מפני טכניקות אלה. "עם זאת, המשרד אינו יודע עד כמה מיושמות פרקטיקות אלה", כותבים בGAO. "העדר ידע זה נובע בחלקו מהעדר פיקוח על יישום, כך לפי גורמים במשרד ההגנה. בסך הכל, עד שהמשרד ישלים את יוזמות ההיגיינה בתחום הסייבר ויבטיח כי שיטות העבודה מיושמות, המשרד יעמוד בסיכון מוגבר להתקפה מוצלחת."
