زیرساخت های دریایی آمریکا آسیب پذیر در برابر حملات سایبری

به گزارش کارگروه امنیت سایبربان؛ به گفته یکی از مقامات آمریکایی، مدیران و کارکنان سازمان حفاظت از سلامت صنایع دریایی ایالات متحده در معرض حملات سایبری قرار دارند که ممکن است باعث آسیب جدی به بخش دولتی شود.

براساس گزارش منتشر شده از دفتر بازرسی کل حمل و نقل ایالات متحده در ماه ژوئیه 2019،  مهاجمان مخرب می‌توانند اسناد و مدارک 13 مدیر و کارمند تازه پیوسته به اداره امور دریایی (MarAd) را به سرقت ببرند و باعث اعمال هزینه 103 میلیون دلاری به آژانس برای نظارت بر اعتبارنامه‌ها شوند.

در گزارش فوق آمده است:

حسابرسان دفتر بازرسی کل می‌توانند – در بخشی – به دلیل نبود سیستم هشداردهی برای شناسایی نفوذکنندگان، به شبکه اداره امور دریایی دسترسی داشته باشند. ما همچنین به پرونده‌های حاوی اطلاعات شخصی قابل شناسایی (PII) دسترسی پیدا کردیم. در حالیکه پلیس حمل و نقل به رمزگذاری برای محافظت از اطلاعات حساس نیاز دارد، این پرونده‌ها و سایر اطلاعات به‌دست آمده رمزگذاری نشده‌اند.

طبق گزارش دفتر بازرسی کل، یکی از مقامات وزارت حمل و نقل نتوانست عدم رمزگذاری اطلاعات حساس را از سوی کارمندان توضیح دهد، چراکه آموزش آگاهی امنیتی اطلاعات شامل بخش حفاظت از اطلاعات حساس می‌شود. این مقام آمریکایی همچنین نتوانست در مورد عدم حداقل کنترل ویژه روی حساب کاربری سرویس اداره امور دریایی در دسترس ما را از سوی مدیران توضیحی ارائه دهد.

در ادامه گزارش نوشته شده است:

همان مقام رسمی اذعان کرد که کاربران به منظور حفظ امنیت رمزهای عبور، سیاست و آگاهی امنیتی وزارت حمل و نقل را دنبال نکردند. این مقام آمریکایی به ما اطلاع داد که دفتر حمل و نقل بر استفاده از کارت‌های تأیید هویت شخصی برای دسترسی به شبکه و امکانات تأکید دارد. عدم هماهنگی اداره امور دریایی با سیاست وزارت حمل و نقل در مورد رمزگذاری، استفاده از حداقل امتیاز، حفاظت از اطلاعات شخصی قابل شناسایی و ذخیره‌سازی رمز عبور، خطر دسترسی غیرمجاز به اداره امور دریایی و دیگر اطلاعات را در پی دارد.

دفتر بازرس کل در گزارش خود به این نتیجه رسید که سازمان به عنوان بخشی از وزارت حمل و نقل و مرتبط با کل شبکه فناوری اطلاعات این وزارتخانه، آسیب‌پذیری‌های جدی دارد که باعث ایجاد خطر موفقیت هکرها روی شبکه می‌شود. علاوه بر این، با ایجاد خطر اطلاعات اداره اموردریایی می‌تواند دسترسی به شبکه‌های متصل را فراهم کند.

دفتر بازرسی کل حمل و نقل ایالات متحده، 19 توصیه شامل توسعه یک برنامه آموزشی درخصوص آگاهی امنیتی با تمرکز بر حملات فیشینگ برای ارائه دهندگان مدارک در طول آزمایش فیشینگ بازرسی کل پیشنهاد کرد.

افسر ارشد اطلاعات وزارت حمل و نقل و مقامات اداره امور دریایی آمریکا در گزارشی در اول ماه ژوئیه امسال اعلام کردند که با این 19 پیشنهاد موافق هستند و برخی از آنها را پیشتر مورد توجه قرار داده‌اند. اداره امور دریایی گفت که به همه پیشنهادات تا سپتامبر 2020 رسیدگی خواهد شد.

 اداره امور دریایی، علاوه بر معامه با حمل و نقل داخلی، در امور مربوط به صنعت کشتی‌سازی، بنادر، عملیات‌های کشتی‌رانی و امنیت ملی نیز دخالت خواهد داشت.

در حالیکه هیچ نشانه‌ای مبنی بر گسترش آسیب‌پذیری اداره امور دریایی فراتر از سیستم‌های داخلی آن و ورود به سیستم‌های خارجی مرتبط وجود ندارد، استفاده روزافزون از فناوری دیجیتال، حفاظت سایبری را به اولویت اصلی بنادر مانند بندر لس‌آنجلس تبدیل کرده است. گارد ساحلی ایالات متحده در ماه می 2019 یک بیانیه امنیتی با هشدار درمورد ایمیل‌های فیشینگ و حملات مخرب روی کشتی‌های تجاری صادر کرد.