פרצות אבטחה, הגדרות תצורה שגויות (Misconfigurations) ואי-יישום Best practices במסדי נתונים רגישים של סוכנויות ממשל אמריקאיות, נתגלו לאחרונה במבדק אבטחה פנימי שבוצע במספר גופי ממשל; משמעות ממצאים אלו הינה כי נתונים רגישים ביותר עלולים להיות חשופים, ובכך לגרום לסיכונים בעלי השלכות קשות על בטחון הפנים בארה"ב.

בביקורת של משרד המפקח הכללי (Inspector General) נמצא כי על מסדי הנתונים של המחלקה לבטחון המולדת (DHS) - הסוכנות האחראית על יישום תקן אבטחת המידע הפדרלי (FISMA) - נמצאו מספר פרצות קריטיות וליקויים במערכי ההגנה כנגד תקיפות.

בדו"ח הפנימי, אשר התפרסם בחודש שעבר, ניתן דגש לליקויים אשר נמצאו במערכי האיחסון של ליבת המערכת, אשר נקראת Protected Critical Infrastructure Information (PCII), אשר כללו ליקויים ופרצות בשתי מערכות עיקריות אשר משמשות להגנה על בסיסי הנתונים הקריטיים - מערכת הניהול ומערכת ההצפנה הרשתית.

הבעיות העיקריות להן ניתן דגש הינן מתן הרשאות נרחבות למשתמשים ללא צורך תפעולי אמיתי, תקשורת לקויה בין אנשי הצוות אשר גרמה לחוסר הקשחה מספק של המערכת, והגדרות תצורה שגויות אשר הותירו פרצות במערכת.

"כולנו אמורים להיות מודאגים אם האנשים שאמורים לשמור על ביטחוננו אינם שומרים על ביטחונם שלהם", אומר ג'ון ורי, יועץ בכיר בחברת האבטחה Pivot Point Security. "למרות שצריך להיות זהירים בהתייחסות לממצאים אשר אינם מוכרים לי לעומק, הרי שבמרבית המקרים המוכרים לחברתנו מן המבדקים אותם אנו עורכים אצל לקוחותינו - אם אנו מוצאים כי מסד נתונים אחד סובל מפרצות אבטחה רבות - משמעות הדבר היא כי גם מסדי הנתונים הנוספים מוגדרים בתצורה בלתי מאובטחת", הוא מוסיף. [הערה: גם חברתנו - איי פי וי סקיוריטי - עורכת מבדקי אבטחת מידע רבים, ובינהם גם מבדקים של מסדי נתונים; ניתוח התוצאות של המבדקים אשר נערכו אצל יותר מ-150 מלקוחותינו תואם לחלוטין לציטוט לעיל].

אבל המשרד לבטחון המולדת אינו גוף הפדרלי היחידי אשר זכה לביקורת לאחרונה מגופי הביקורת; בביקורת של המפקח הראשי של משרד האוצר האמריקאי על רשות המיסים הפדרלית (TIGTA), נמצא כי ל-IRS יש בעיות אבטחה מהותיות כמעט בכל 2,200 בסיסי הנתונים שלו. זאת למרות העובדה כי הרשות השקיעה יותר ממיליון דולר בכלי אבטחה שונים לאחרונה. הטמעת ופריסת הפתרונות עדיין לא הושלמה, וכמו כן לא הוגדרו עדיין באופן מספק ה-Best practices בכדי שפתרונות אלו יתנו מענה אפקטיבי לסיכונים.

"בזמן שכלל מסדי הנתונים של הממשל הופכים למטרה מועדפת של האקרים, לא ניתן להפריז בחשיבות של הגנה על בסיסי הנתונים של רשות מס-ההכנסה", אומר המפקח הראשי של TIGTA, ג'יי ראסל ג'ורג', בהצהרה שפירסם. "כל כישלון לשמור על רמת אבטחה גבוהה בבסיסי הנתונים של רשויות המס עלול לאפשר לגורם פנימי ממורמר או לפורץ חיצוני לנצל את חולשות האבטחה בכדי להשיג גישה בלתי מורשית לנתוני משלמי המיסים, וכתוצאה מכך לגניבת זהות, מרמה, או כל סוג אחר של פעילות בלתי חוקית".

"סריקות תקופתיות של מסדי הנתונים לגילוי ואיתור פרצות אבטחה, מערכות אשר לא הותקנו עליהן טלאי אבטחה, איתור מערכות מיושנות ופגיעות, מיפוי הרשאות (והרשאות יתר) וגיבוש תכנית מתועדת לאיתור ותיקון פרצות באופן שוטף - כל אלו הינם צעדים חשובים, אולם על ה-IRS ליישם גם פתרון אבטחה ייעודי לניטור הפעילויות במסדי הנתונים", אומר מל שאקיר, ה-CTO של חברת NitroSecurity. "מומלץ לשלב ולבצע קורלציה בין תוצאות הסריקה לאיתור הפרצות לבין הפעולות ו/או הגישות אל נתונים רלוונטיים למשלמי המיסים אשר בוצעו בבסיסי הנתונים, וכך לאתר פעילויות חריגות או חשודות ולהתריע אודותיהן בזמן אמיתי".

שני הדו"חות האחרונים - של ה-DHS וש ה-IRS - צריכים לשמש כתמרור אזהרה עבור כל הגורמים המחזיקים בנתונים רגישים על מסדי הנתונים שלהם - ממשלתיים ומסחריים כאחד.

"ארגונים רבים רק התחילו להבין את החשיבות שבאבטחת מסדי נתונים. חלקם גם רכשו פתרונות בכדי להתמודד עם בעיית אבטחה ספציפית וקריטית זו, אולם מתקשים בגיבוש מדיניות פנימית ומתמודדים עם משאבים מוגבלים שאינם מאפשרים להם להטמיע את הפתרונות שרכשו באירגון בכדי שיתנו מענה אפקטיבי לאיומים", אומר ג'וש שאול, ה-CTO של חברת Application Security. לממשל הפדרלי יש עדיין דרך ארוכה לעשות לפני שיוכלו לומר כי מסדי הנתונים שלהם מאובטחים כראוי".

לידיעה המקורית (אנגלית) - כאן
לדו"ח הביקורת של ה-DHS - כאן
לדו"ח הביקורת של ה-IRS - כאן