Audyt Pentagonu wykazał, że wojskowi nie mają pojęcia o bezpieczeństwie komputerowym

Taki wniosek przynajmniej wyłania się z raportu przygotowanego przez Government Accountability Office (GAO) – instytucji kontrolnej Kongresu Stanów Zjednoczonych. W jego podsumowaniu znalazło się m.in takie zdanie:

Tak w skrócie można zresztą podsumować testy większości testowanych systemów Pentagonu, przeprowadzonych w latach 2012 - 2017. Testerzy zabezpieczeń, którzy je przeprowadzili, twierdzą, że dostęp do większości z nich udało się uzyskać dzięki prostym, darmowym narzędziom lub po prostu - co trochę nie mieści mi się w głowie - dzięki odgadnięciu jakiegoś banalnego hasła w stylu 1234.

Jeszcze ciekawiej robi się w sekcji raportu, w której zamieszczono przykładowe opisy włamań do testowanych systemów. Możemy znaleźć tam takie kwiatki, jak uzyskanie dostępu w 9 sekund, dzięki odgadnięciu hasła administratora. Niektóre przypadki okazały się jeszcze gorzej zabezpieczone.

Wojskowi administratorzy nie pomyśleli np. o zmianie standardowych haseł w darmowym oprogramowaniu, na którym oparto kilka testowanych rozwiązań. Testerzy GAO musieli jedynie przejrzeć dokumentację tych rozwiązań i podać zapisane tam domyślne hasła, żeby uzyskać dostęp do systemu odpowiedzialnego za sterowanie jakiejś śmiercionośnej broni.

Z kolei tam, gdzie nie udało się odgadnąć hasła, pomogło skorzystanie z darmowych narzędzi do penetrowania systemów komputerowych. Niektóre testowe systemy Pentagonu potrafiły paść lub umożliwić testerom uzyskanie praw administratora po zwykłym przeskanowaniu ich portów. W dokumencie nie padają oczywiście żadne nazwy, ani nawet skrócone opisy możliwości testowanych systemów. Wszak większość z nich jest ściśle tajna.

Możemy się tylko domyślać, jakie systemy padły ofiarą testów. Znając zamiłowanie Pentagonu do wszelkiego rodzaju maszyn bezzałogowych, założę się, że na liście zhakowanych systemów znalazło się kilka, które odpowiadają za sterowanie śmiercionośnymi dronami.

Ogólnie rzecz ujmując: z raportu GAO wyłania się obraz nędzy i rozpaczy jeśli chodzi o komputerowe bezpieczeństwo wojskowych systemów.

Ta wina polega na tym, że doświadczony specjalista z pojęciem o bezpieczeństwie komputerowym raczej nie będzie szukał pracy w amerykańskim sektorze państwowym. Powód jest oczywiście banalny - za mało tam płacą. Powołując się na dane z raportu Rand z 2014 r. oficjele z GAO wskazują, że taki człowiek może liczyć na ok. 200 - 250 tys. rocznie w sektorze prywatnym. Kwoty te, nawet jeśli po 4 latach są już trochę nieaktualne, „mocno przekraczają możliwości Departamentu Obrony".

Do tego dochodzą również różnice kulturowe. Raport GAO co prawda o tym nie wspomina, ale pamiętam, jak w 2014 r. James Comey, dyrektor FBI narzekał, że jego biuro ma ogromny problem ze znalezieniem dobrych ekspertów ds. cyberbezpieczeństwa, którym odpowiadałyby standardy pracy w rządowej instytucji. Chodzi m.in. o takie kwestie, jak palenie trawki.

Okazuje się bowiem, że większość zaproszonych na rozmowę kwalifikacyjną ekspertów strasznie dziwiła się, że po ciężkim dniu pracy dla FBI nie będzie mogła się zrelaksować odpalając jointa. W startupach nie robią takich problemów i oferują lepsze warunki finansowe. Nic dziwnego, że agencje rządowe mają potem problemy z zabezpieczeniami.

Do braków w personelu przedstawiciele Pentagonu przyznali się już podczas przesłuchania przed Komisją Sił Zbrojnych Senatu Stanów Zjednoczonych. Essye B. Miller, zastępca dyrektora Pentagonu przyznała, że Departament Obrony Stanów Zjednoczonych traci rocznie ok. 4 tys. wykształconych inżynierów, którzy przechodzą do sektora prywatnego.

Według Miller nie jest to żadna katastrofa. Jej zdaniem amerykańskie wojsko znajdzie nowe osoby do obsadzenia tych pozycji i nie ma się o co martwić. No, przynajmniej na razie. Gdyby nagle okazało się, że te wszystkie niezabezpieczone systemy są potrzebne na jakimś froncie, przedstawiciele Pentagonu zapewne nie zachowywaliby się tak spokojnie.