Nota TN: O tratamento imprudente de dados por supostos “especialistas” foi exposto, mas dificilmente corrigido. Vazamentos de dados (isto é, hackers) não são a principal preocupação dos tecnocratas, porque não importa o que seja a pequena porção vazada, eles raciocinam que ainda possuem os dados originais completos que só podem ser analisados por eles próprios.
O Departamento de Segurança Interna está executando centenas de bancos de dados confidenciais e altamente secretos sem a devida autorização, deixando a agência insegura se pode "proteger informações confidenciais" contra ataques cibernéticos.
An auditor divulgado publicamente na quinta-feira pelo inspetor-geral, encontrou várias áreas de fraquezas nos programas de segurança da informação da agência.
Especificamente, o departamento está operando os sistemas 136 "sensíveis, mas não classificados", "Secretos" e "Top Secret" com "autoridades expiradas para operar".
“Em junho do 2015, o DHS tinha os sistemas 17 classificados como 'Secretos' ou 'Secretos' operando sem [autoridades para operar] ATOs”, disse o inspetor geral. "Sem ATOs, o DHS não pode garantir que seus sistemas estejam adequadamente protegidos para proteger informações confidenciais armazenadas e processadas neles."
Liderando as agências que operavam bancos de dados desprotegidos estava a Guarda Costeira do 26, seguida pela Agência Federal de Gerenciamento de Emergências do 25 e a Proteção de Fronteiras e Alfândegas do 14.
A sede do Departamento de Segurança Interna está operando a 11, e a Transportation Security Administration está executando sistemas sigilosos ou sensíveis à 10 com autorizações expiradas.
A auditoria também constatou que faltavam patches de segurança para computadores, navegadores da Internet e bancos de dados, e senhas fracas deixaram a segurança das informações da agência vulnerável.
"Encontramos vulnerabilidades adicionais em relação ao software Adobe Acrobat, Adobe Reader e Oracle Java nas estações de trabalho Windows 7", disse o inspetor geral. "Se exploradas, essas vulnerabilidades podem permitir acesso não autorizado aos dados do DHS".
A revisão, exigida pela Lei Federal de Modernização da Segurança da Informação da 2014, descobriu que sites internos também eram suscetíveis a ataques de "clickjacking" e "vulnerabilidades entre sites e entre quadros".
"As vulnerabilidades de script entre sites e entre quadros permitem que os invasores injetem códigos maliciosos em sites de outra forma benignos", disse o inspetor geral. “Um ataque de clickjacking engana a vítima para interagir com elementos específicos de um site de destino sem o conhecimento do usuário, executando funcionalidades privilegiadas em nome da vítima.”
wpDiscuz