آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

نقض کارمندان داخلی وزارت امنیت ملی آمریکا منجر به سرقت اطلاعات شخصی کارمندان و اشخاص ثالث شد

عنواننقض کارمندان داخلی وزارت امنیت ملی آمریکا منجر به سرقت اطلاعات شخصی کارمندان و اشخاص ثالث شد
گروه اصلیOther
شرح خبر

 

دفتر بازرسی کل وزارت امور خارجه آمریکا (OIG) تأیید کرد که «حادثه حریم خصوصی»، که در ماه می سال 2017 کشف شد، منجر به سرقت اطلاعات شناسایی شخصی کارمندان وزارت امنیت ملی آمریکا (DHS) و افراد مرتبط با تحقیقات شده است.

به گفته نیویورک تایمز این حادثه نتیجه تلاش داخلی سه تن از کارمندان DHS OIG بود، که سیستم کامپیوتری OIG را سرقت کردند تا «با تغییر نرم‌افزار اختصاصی مدیریت پرونده‌های تحقیقاتی و انضباطی، بتوانند آن را به سایر دفاتر بازرسی کل، در سراسر دولت فدرال بفروشند.»

اطلاعات در معرض خطر

در مجموع، داده‌های حدود 247,167 نفر از کارمندان سابق و فعلی DHS، همچنین تعداد نامشخصی از موضوعات، شاهدان و شاکیان مرتبط با تحقیقات DHS OIG از سال 2002 تا 2014، بر روی سرویس‌دهنده کامپیوتر خانگی یکی از این کارمندان داخلی پیدا شد.

داده‌ها شامل موارد زیر بود:

·         نام‌ها، شماره‌های امنیت اجتماعی، تاریخ‌های تولد، موقعیت‌ها، درجه‌ها، و ایستگاه‌های کاری کارمندان

·         نام‌ها، شماره‌های امنیت اجتماعی، شماره‌های ثبت اتباع بیگانه، تاریخ‌های تولد، آدرس‌های ایمیل، شماره‌های تلفن، و آدرس‌های افراد مرتبط با تحقیقات، همچنین کلیه اطلاعات شخصی که حین مصاحبه با عوامل تحقیقاتی DHS OIG جمع‌آوری شده بود.

به‌گفته OIG، «شواهد نشان می‌دهد که اطلاعات شخصی افراد، هدف اصلی انتقال غیرمجاز داده‌ها نبوده است.»

با این وجود، DHS به تمامی افرادی که به‌طور بالقوه تحت تأثیر این حادثه بودند، 18 ماه اعتبار رایگان برای استفاده از خدمات مانیتورینگ و حفاظت هویت ارائه می‌دهد.

چرا اعلان‌ها خیلی دیر به افراد آسیب‌دیده ارسال شد؟

با کارمندان آسیب‌دیده مستقیماً تماس گرفته شد، اما به‌دلیل محدودیت‌های فناوری، اداره قادر نبود به سایر اشخاصی که داده‌های آن‌ها در معرض خطر قرار گرفته، اطلاع‌رسانی کند. انتظار می‌رود آن‌ها با خدمت
 
AllClear ID در تماس باشند، تا از این پیشنهاد بهره ببرند.

به گفته DHS، آن‌ها تا قبل از دسامبر 2017 اطلاعیه صادر نکردند، چرا که «تحقیقات به‌دلیل ارتباط نزدیک با تحقیقات کیفری در دست اقدام، پیچیده بود.» تحلیل قانونی داده‌های در معرض خطر و ارزیابی ریسک به افراد آسیب‌دیده در ماه نوامبر خاتمه پیدا کرد.

برای جلوگیری از وقوع مجدد چنین حوادثی، آن‌ها اقدامات احتیاطی امنیتی بیشتری را پیاده‌سازی کرده‌اند، تا اشخاصی که به این نوع اطلاعات دسترسی دارند را محدود کنند، و کنترل‌های شبکه‌ای بیشتری اضافه کردند تا الگوهای دسترسی غیر معمول توسط کاربران مجاز را بهتر شناسایی کنند.

به گفته Daniel Conrad، متخصص مدیریت هویت و دسترسی در One Identity، «اگر این حادثه مدیریت ضعیف دسترسی به برنامه‌ها و داده‌ها نیست، من نمی‌دانم که چه چیزی است. مدیریت دسترسی به داده‌ها (و برنامه‌ها) فرآیندِ حصول اطمینان از این است که تنها افراد صحیح، در زمان صحیح، به داده‌های صحیح (و برنامه‌ها)، دسترسی صحیح دارند و می‌توانید این را اثبات کنید. به‌نظر می‌رسد DHS با دادن مجوز به افراد اشتباه، برای دسترسی به داده‌های نامناسب، در این مورد شکست خورده، و زیرساخت‌های حسابرسی آن‌ها نتوانسته آن را نشان دهد.»

«اگر DHS از یک پلتفرم مدیریت هویت و دسترسی قوی استفاده می‌کرد، احتمالاً می‌توانست از ابتدا از بروز این حادثه جلوگیری کند، و اطمینان حاصل کند که تنها افراد درست به این داده‌های حساس دسترسی دارند. ثانیاً، یک چارچوب قوی دارای یک حسابرسی قوی و تفکیک وظایف و امکانات است، که می‌تواند به افراد قابل اعتماد در سازمان هشدار دهد این حجم از داده‌های حساس دارد از ساختمان خارج می‌شود.»

آدرس اینترنتی خبرhttps://www.helpnetsecurity.com/2018/01/05/dhs-oig-breach/
تاریخ درج خبر1396-11-15
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست