Il Dipartimento per la sicurezza nazionale gestisce centinaia di database sensibili e top secret senza la giusta autorizzazione, lasciando l'agenzia incerta se può "proteggere le informazioni sensibili" dagli attacchi informatici.
An revisione pubblicato pubblicamente giovedì dall'ispettore generale ha riscontrato molteplici aree di debolezza nei programmi di sicurezza delle informazioni dell'agenzia.
In particolare, il dipartimento sta gestendo i sistemi "sensibili ma non classificati" di 136 "segreti" e "top secret" con "autoritĂ scadute per operare".
"A partire da June 2015, DHS aveva sistemi 17 classificati come" Secret "o" Top Secret "funzionanti senza [autorità per operare] ATO", ha detto l'ispettore generale. "Senza ATO, DHS non può garantire che i suoi sistemi siano adeguatamente protetti per proteggere le informazioni sensibili archiviate ed elaborate al loro interno."
A guidare le agenzie che gestivano database non garantiti era la Guardia costiera con 26, seguita dall'Agenzia federale di gestione delle emergenze con 25 e la protezione doganale e delle frontiere con 14.
Il quartier generale del Dipartimento per la sicurezza interna gestisce 11 e l'Amministrazione per la sicurezza dei trasporti esegue sistemi sensibili o segreti 10 con autorizzazioni scadute.
L'audit ha inoltre scoperto che mancavano patch di sicurezza per computer, browser Internet e database e che password deboli rendevano vulnerabile la sicurezza delle informazioni dell'agenzia.
"Abbiamo riscontrato ulteriori vulnerabilitĂ riguardanti Adobe Acrobat, Adobe Reader e Oracle Java nelle workstation Windows 7", ha affermato l'ispettore generale. "Se sfruttate, queste vulnerabilitĂ potrebbero consentire l'accesso non autorizzato ai dati DHS."
La revisione, che è stata commissionata dal Federal Information Security Modernization Act di 2014, ha scoperto che i siti Web interni erano anche suscettibili di attacchi di "clickjacking" e "vulnerabilità cross-site e cross-frame".
"Le vulnerabilitĂ di scripting cross-site e cross-frame consentono agli aggressori di iniettare codice dannoso in siti Web altrimenti dannosi", ha affermato l'ispettore generale. "Un attacco di clickjacking inganna una vittima nell'interazione con elementi specifici di un sito Web di destinazione all'insaputa dell'utente, eseguendo funzionalitĂ privilegiate per conto della vittima."
