Все давно знают о двух самых частых проблемах в обеспечении безопасности вооружения, используемого Пентагоном, однако эти проблемы никто никогда не пытался решить. Речь идет о легко разгадываемых паролях, или даже о паролях, которые никем не менялись с момента установки на вооружении заводских настроек.
Об этом говорится в отчете об обеспечении кибербезопасности американских систем вооружения, который был опубликован 9 октября Счетной палатой США (Government Accountability Office, GAO).
В отчете говорится, что Пентагон «только начинает сталкиваться» с необходимостью устранения уязвимостей в своих системах вооружений. В течение пяти лет, с 2012 по 2017 системы вооружений Министерства обороны США подвергались различным тестам на уязвимость кибербезопасности. В большинстве случае, утверждают авторы отчета, исследователи могли захватить контроль над системами и даже «действовать незамеченными» из-за серьезных уязвимостей в системе безопасности.
В Счетной палате говорят, что эти проблемы широко распространены: «Тестеры Счетной палаты нашли критические киберуязвимости почти во всех системах вооружения, которые сейчас находятся в процессе разработки».
Еще в отчете говорится, что когда руководителям программ по вооружению сообщали о серьезных уязвимостях, они говорили, что «их системы безопасны и заявляли, что результаты тестов "не отражают реальности"».
Отчет был составлен Счетной палатой по просьбе Сенатского комитета по вооруженным силам. Законодатели попросили оценить то, как Пентагон обеспечивает безопасность своих систем вооружения. В отчете учитывались собственные тесты безопасности разрабатываемого оружия, проводимые Министерством обороны, а также интервью с должностными лицами, которые отвечают в оборонном ведомстве за кибербезопасность.
Ставки высоки. Как сообщает National Public Radio, Пентагон планирует потратить около $1,66 триллиона на разработку «современного портфолио систем вооружения». При этом военные неизменно увеличивают использование компьютеризированных и автоматизированных систем, а также современных каналов связи.
Несмотря на все вышесказанное, в Счетной палате отмечают, что Пентагон решил уделить внимание проблемам кибербезопасности «очень недавно» и все еще думает над тем, как достичь этой цели. При этом, на данный момент, говорится в отчете, «в Минобороны не располагают полным списком уязвимостей систем вооружения».
Тесты на кибербезопасность показали, что вооружение Пентагона слабо защищено на всех четырех уровнях борьбы с киберугрозами: это защита, обнаружение, реагирование и восстановление. При этом даже когда военным напрямую говорят об ошибках и уязвимостях, они не спешат их исправлять, говорится в докладе.
Одна из главных проблем Пентагона – массовый уход ключевых IT-сотрудников, которые переходят на гораздо большие зарплаты в частный сектор. Государственные организации не могут себе позволить платить экспертам в области кибербезопасности «от $200 тысяч до $250 тысяч» в год – это средний уровень зарплат в частных организациях для специалистов такого уровня, говорится в исследовании агентства Rand, которое проводилось в 2014 году.
Существование такой проблемы признает Эсси Миллер, начальник отдела информации Пентагона. В беседе с NPR она признала, что «в министерстве есть некоторые проблемы со специалистами в сфере кибербезопасности», и добавила, что из Минобороны ежегодно увольняются больше 4 тысяч гражданских сотрудников, которые занимаются вопросами защиты от киберугроз.