TN Remarque: La manipulation imprudente des données par les supposés «experts» a été révélée, mais à peine corrigée. Les fuites de données (c'est-à-dire les pirates informatiques) ne sont pas la principale préoccupation des technocrates, car quelle que soit la petite partie qui a été divulguée, ils pensent qu'ils ont toujours toutes les données originales qui ne peuvent être analysées que par eux-mêmes.
Le Department of Homeland Security gère des centaines de bases de données sensibles et top secrètes sans l'autorisation appropriée, laissant l'agence incertaine si elle peut «protéger les informations sensibles» des cyber-attaques.
An audit rendu public jeudi par l'inspecteur général a révélé de nombreuses faiblesses dans les programmes de sécurité de l'information de l'agence.
Plus précisément, le service utilise des systèmes 136 «sensibles, mais non classés», «secrets» et «très secrets» dotés «d'autorisations périmées».
«À compter de juin 2015, les systèmes 17 de DHS étaient classés dans la catégorie« secret »ou« très secret », fonctionnant sans [autorités habilitées à exploiter] des ATO», a déclaré l'inspecteur général. "Sans ATO, DHS ne peut pas garantir que ses systèmes sont correctement sécurisés pour protéger les informations sensibles stockées et traitées dans ceux-ci."
La Garde côtière avec 26 était à la tête des organismes qui exploitaient des bases de données non sécurisées, suivie de l’Agence fédérale de gestion des urgences avec 25 et du Service des douanes et de la protection des frontières avec 14.
Le siège du département de la Sécurité intérieure exploite 11 et la Transportation Security Administration exécute des systèmes sensibles ou secrets 10 avec des autorisations expirées.
L’audit a également révélé que des correctifs de sécurité étaient manquants pour les ordinateurs, les navigateurs Internet et les bases de données, et que la faiblesse des mots de passe rendait la sécurité des informations de l’organisme vulnérable.
«Nous avons découvert des vulnérabilités supplémentaires concernant les logiciels Adobe Acrobat, Adobe Reader et Oracle Java sur les stations de travail Windows 7», a déclaré l'inspecteur général. "Si elles sont exploitées, ces vulnérabilités pourraient permettre un accès non autorisé aux données DHS."
L'examen, qui avait été mandaté par la loi fédérale sur la modernisation de la sécurité des informations de 2014, a révélé que les sites Web internes étaient également exposés aux attaques de «détournement de clic» et aux «vulnérabilités inter-sites et inter-images».
«Les vulnérabilités de script inter-sites et inter-images permettent aux attaquants d’injecter du code malveillant dans des sites Web normalement bénins», a déclaré l’inspecteur général. «Une attaque de détournement de clic incite une victime à interagir avec des éléments spécifiques d'un site Web cible à l'insu de l'utilisateur, en exécutant des fonctionnalités privilégiées pour son compte.»
wpDiscuz