美国海军审计署报告显示,2016-2018年期间,由于人手不足,海军潜艇被排除在网络安全检查之外,成为海军的网络安全“真空区”;
审计人员称,此举可能令美国国防部信息网络的风险上升至不可接受的水平。
近年来,针对民用和军用网络的黑客、入侵及攻击活动正不断增加,包括海军在内的美国各军种开始高度重视网络安全,着力增强自身系统以尽可能抵御恶意攻击者的侵害。
但据外媒《海军时报》获得的一份美国海军内部审计结果,太平洋海军潜艇部队及其麾下的潜艇近年来并没有接受必要的内部与外部网络安全检查,这无疑给强大的海上武装力量带来了存在网络漏洞的隐忧。
安全检查人手不足,致使潜艇网络被排除在外
去年9月发布的美国海军审计署报告发现,海军舰队网络司令部并没有按照2016年至2018年期间的要求,对太平洋潜艇部队总计41艘潜艇与2艘潜艇勤务舰实施网络安全检测与评估,也未能记录检测缺失的具体原因。
根据审计报告的说明,在向负责漏洞评估与IT网络入侵评估的工作人员提出质询时,对方表示,按计划每三年进行一次的测试计划,目前因为人手不足而陷入了停滞。
《海军时报》依照《信息自由法案》中的条款申请查看审计结果,发现其中记录称,
“对方人员告诉我们,他们没有足够的人手完成每三年一次的全体信息系统检查要求,因此只能将海军潜艇网络排除在检查范围之外。”
他们还告诉审计人员,之所以决定削减子网络检查,是因为这些潜艇在行动过程中会与网络断开连接。另外,他们还得出一个“非正式的结论”,即使用频率越高的海军网络,越容易受到攻击,所以据此做出了检查工作的优先级排序。
工作人员还表示,因为没有政策做出明确的检查要求,所以他们也没有把潜艇勤务舰纳入记录范畴。
审计人员在报告中写道,“将海下网络排除在安全检查之外,有可能令美国国防部信息网络的风险上升至不可接受的水平。”
审计报告还提出几项整改建议,舰队网络司令部也已经认可了这部分建议。
司令部发言人David Benham指挥官在本周四的一封邮件中表示,舰队网络司令部已经“对检查对象的选择与优先级排序过程做出了全面审查,并重新努力把包括潜艇及潜艇勤务舰”在内的水上部队纳入检查范围。
仅半数设施开展过安全检查
审计人员还发现,太平洋潜艇部队的网络检查工作存在一些其他的不足。
尽管制定了正式的网络安全检查政策,但审计人员发现,潜艇部队“缺乏充分的监督控制与明确的执行程序,也没有实施任何正式的培训以保证正确执行网络安全检查并记录结果。”
总体而言,从太平洋潜艇部队及各下辖中队缺失的文件来看,他们在2016年至2018年期间只对53%的必要网络设施开展过强制网络安全检查。
报告指出,“由此可见,太平洋潜艇部队未能良好保证潜艇及潜艇勤务舰的网络准备与安全水平。另外,检查人员的检查工作可能并不一致、彻底,也可能没有及时跟进此前发现的缺陷。”
审计报告发现,太平洋潜艇部队既没有确保纠正措施的落实贯彻,也没有明确的程序来执行并记录网络安全检查结果。
报告提到,“此外,根据潜艇部队网络部门的介绍,其检查人员并没有接受过正式的相关培训,所以并不清楚如何为司令部直属上级提供正确的网络安全检查记录与维护流程文件。”
审计人员们建议通过多项变更加强潜艇部队的网络安全流程,包括制定监督流程并加强检查系统,严格按照司令部的处置意见修改安检实施程序。
太平洋潜艇部队的官员并没有立即回应关于这份审计意见的评论请求。
参考来源:https://www.navytimes.com/news/your-navy/2021/08/12/audit-some-navy-sub-cybersecurity-inspections-were-neglected-in-recent-years/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。