Deney, ABD İçişleri Bakanlığı Genel Müfettişliği (OIG) tarafından geçen hafta yayınlanan yeni bir raporda ayrıntılı olarak anlatılıyor.
Raporun amacı, ABD İçişleri Bakanlığı’nın bulut altyapısının güvenliğini ve ayrıca departmanın en hassas verilerini kötü niyetli bilgisayar korsanlarından koruması gereken “veri kaybını önleme çözümü” yazılımını test etmekti. OIG’nin raporunda, testlerin Mart 2022 ile Haziran 2023 arasında gerçekleştirildiği belirtildi.
İçişleri Bakanlığı ülkenin federal arazisini, milli parklarını ve milyarlarca dolarlık bir bütçeyi yönetiyor ve önemli miktarda veriyi bulutta barındırıyor.
Rapora göre, İçişleri Bakanlığı’nın bulut altyapısının güvenli olup olmadığını test etmek amacıyla OIG, Mockaroo adlı çevrimiçi bir araç kullanarak “Bakanlığın güvenlik araçları için geçerli görünecek” sahte kişisel veriler oluşturdu.
NodeShift, Inovo.vc liderliğindeki bir yatırım turunda 3.2 milyon dolarlık bir tohum fonu topladığını duyurdu. Bu turda Orta ve Doğu Avrupa’da faaliyet gösteren girişimlere odaklanan Inovo.vc’nin yanı sıra Notion Capital, 10X…
OIG ekibi daha sonra, ağı içindeki “karmaşık bir tehdit aktörünü” taklit etmek için bakanlığın bulut ortamındaki bir sanal makineyi kullandı ve ardından “verileri sızdırmak için iyi bilinen ve geniş çapta belgelenmiş teknikleri” kullandı.
Raporda, “Sanal makineyi olduğu gibi kullandık ve söz konusu sistemden veri sızmasını kolaylaştıracak herhangi bir araç, yazılım veya kötü amaçlı yazılım yüklemedik.” denildi.
OIG, haftada 100’den fazla test gerçekleştirdiğini; hükümet departmanının “bilgisayar kayıtlarını ve olay takip sistemlerini gerçek zamanlı olarak” izlediğini ve testlerden hiçbirinin bakanlığın siber güvenlik savunmaları tarafından tespit edilmediğini veya önlenmediğini söyledi.
OIG, raporunda “Testlerimiz, Departmanın hassas verileri çalmak için kötü niyetli aktörler tarafından kullanılan yaygın ve iyi bilinen teknikleri önleyebilecek veya tespit edebilecek güvenlik önlemlerini uygulamadığından başarılı oldu.” dedi.
“Sistem bulut ortamında barındırıldığı yıllarda Departman, hassas verileri yetkisiz erişimden koruyan sistem kontrollerinin düzenli olarak yapılması gereken testlerini hiç yapmadı.”
İşte kötü haber: Departmanın sistemlerinde ve uygulamalarında bulunan zayıflıklar, rapora göre “on binlerce Federal çalışanın kişisel hassas bilgilerini yetkisiz erişime karşı risk altına soktu“. OIG ayrıca, “iyi kaynaklanmış bir rakibin” kırılmasını durdurmanın imkansız olabileceğini kabul etti, ancak bazı iyileştirmelerle bu rakibin hassas verileri dışarı çıkarmasını engellemenin mümkün olabileceğini belirtti.
Bu test “veri ihlali“, bir kontrollü ortamda OIG tarafından gerçekleştirildi ve Çin veya Rusya gibi sofistike bir hükümet hacker grubu tarafından değil. Bu, ABD İçişleri Bakanlığına raporda listelenen bir dizi öneriyi takiben sistemlerini ve savunmalarını geliştirme fırsatı veriyor.
Geçen yıl, ABD İçişleri Bakanlığı’nın OIG’si binlerce departman çalışanının şifrelerini stres testi yapmak amacıyla 15.000 dolar değerinde özel bir şifre kırma düzeneği inşa etti.
