Siber Güvenlik Açıkları ABD Dışişleri Bakanlığı'nın GAO Raporunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

Siber Güvenlik Açıkları ABD Dışişleri Bakanlığı'nın GAO Raporunda Uyardı - Dünyadan Güncel Teknoloji Haberleri

E-posta ihlalinde, çalınan bir Microsoft hesabı (MSA) anahtarı, Storm-0558 APT’nin yetkili Azure Active Directory (AD) kullanıcıları gibi görünmek için kimlik doğrulama belirteçleri oluşturmasına ve Microsoft 365 kurumsal e-posta hesaplarına ve içinde yer alan potansiyel olarak hassas bilgilere erişim elde etmesine olanak tanıdı

Bazıları 13 yılı aşkın süredir kullanımda olan eski donanım ve yazılım kurulumlarının değiştirilmesi de dahil olmak üzere genel BT altyapısı güvenliğinin iyileştirilmesi esastır

Raporda, bu koordinasyon eksikliğinin bilgi sistemi güvenlik görevlileri arasında gereksinimler konusunda kafa karışıklığına da yol açtığı sonucuna varıldı

Dış Tehdit Riski Altındaki Altyapı

Rapor, 25 ABD devlet kurumunun gerçekleştirdiği başarılı saldırının ardından geldi 689 donanım sisteminin değiştirilmesi ve 3 Genel Muhasebe Ofisi (GAO) tarafından hazırlanan rapor uyarıyor

Ancak raporda “departmanın gerekli risk yönetimi faaliyetlerini uygulayana kadar güvenlik kontrollerinin amaçlandığı gibi çalıştığına dair güvenceden yoksun olduğu” belirtildi 102 ağ ve sunucu işletim sistemi yazılım kurulumunun değiştirilmesi de dahildir” ifadesine yer verildi

Raporda, bakanlığın olay müdahale programını uygulamada, bilgi sistemi acil durum planlarını güncellemede ve test etmede ve envanter veri tabanını uygun şekilde yapılandırmada da zorluklarla karşı karşıya olduğu belirtildi

Raporda, “Buna 23

Bunlardan ilki ve en önemlisi, Dışişleri Bakanlığı’nın CIO’ya, departmanın en önemli risklerini önceliklendiren departman çapında bir risk profili geliştirmesi ve sürdürmesi yönünde talimat vermesi önerisidir

Dışişleri Bakanlığı, yaklaşık 500 bilgi sisteminin yarısından azı (%44) için yetkilendirme sürecini tamamladı ve henüz bakanlık çapında bir sürekli izleme sistemi uygulamaya koymadı

Nisan 2022’de Dışişleri Bakanlığı, siber uzayda sorumlu hükümet davranışı normlarının şekillendirilmesine yardımcı olmak ve ABD müttefiklerinin kendi siber güvenlik programlarını desteklemelerine yardımcı olmak için bir Siber Uzay ve Dijital Politika Bürosu kurulduğunu duyurdu “Ayrıca, Devlet muhtemelen bilgi güvenliği açıklarının ve misyon operasyonlarını etkileyen tehditlerin tam olarak farkında değildir ”

Ve bu tehditler muhtemelen sayısızdır

CIO ana ağı denetleyip standartları belirlerken, bireysel bürolar ekipman satın alma, BT sistem yönetimi ve finansman da dahil olmak üzere birçok görevi bağımsız olarak ele alır Çinli hackerlar Mayıs ayında Dışişleri Bakanlığı da dahil olmak üzere üst düzey yetkililere ait 60



siber-1

000 e-posta çalındı

Bunu takiben Dışişleri Bakanlığı, CIO tarafından tespit edilen güvenlik açıklarını hafifletmeye yönelik planlar geliştirmeli ve ardından GAO’nun incelediği bilgi sistemlerine sahip 28 büro için büro düzeyinde risk değerlendirmeleri yapmalıdır

Raporda, “Devlet bu ve diğer eksiklikleri giderene kadar CIO, risk yönetimi ve olaylara müdahale de dahil olmak üzere bakanlığın siber güvenlik programını yönetme ve denetlemede zorluklarla karşı karşıya kalacak ve bakanlığın sistemleri savunmasız kalacak” uyarısında bulundu

Olumlu tarafı, departmanın risk yönetimi rollerini ve sorumluluklarını belirlemiş ve bir siber risk yönetimi stratejisi geliştirmiş olmasıdır

Bu arada, federal hükümetin yaklaşmakta olan kapanması, bir dizi kurum ve departmanda ek siber güvenlik komplikasyonlarına neden olma tehdidinde bulunurken, CISA, Kongre’nin federal hükümeti finanse etmek için bir anlaşmaya varamaması durumunda personelin %80’inden fazlasını süresiz olarak izne çıkaracağını belirtti

Raporda, Dışişleri Bakanlığı CIO’sunun da ortak yönetim sorumlulukları ve zayıf iletişim nedeniyle BT sistemlerinin güvenliğinin sağlanmasında sınırlamalarla karşı karşıya olduğu belirtildi

Dışişleri Bakanlığı Olağanüstü Siber Yapılacak İşlerle Karşı Karşıya

GAO’nun ABD hükümetinin siber güvenlik ve bilgi güvenliği sorunlarına ilişkin kapsamlı çalışmasının bir parçasını oluşturan raporda, yürütme eylemlerine ilişkin henüz bekleyen 15 öneri sıralandı

Bu eksiklikler büyük ölçüde departmanın yalıtılmış kültürünün ve CIO ile bireysel bürolar arasındaki yetersiz iletişimin bir sonucudur ve savunma



ABD Dışişleri Bakanlığı, siber güvenlik risk programını tam olarak uygulamalı ve BT ağını ve sistemlerini daha iyi korumak için 92 sayfalık ek adımlar atmalıdır