Az amerikai kormány elszámoltatási hivatala (GAO) a héten jelentést tett közzé, amelyben részletesen ismerteti a védelmi minisztérium (DoD) kiberincidens-kezelési folyamataiban azonosított problémákat.
"E munka elvégzéséhez a GAO áttekintette a vonatkozó útmutatókat, elemezte a kiberincidensekből és a DIB (védelmi ipari bázis) által benyújtott kiberincidens-jelentésekből, valamint a DoD által bejelentett adatvédelmi adatszegésekből származó mintákat, és felmérést végzett 24 DoD kiberbiztonsági szolgáltatóval. Ezenkívül a GAO interjúkat készített a DoD és a kiberbiztonsági szolgáltatók tisztviselőivel, és két vitafórumot hívott össze a DIB vállalatokkal" - jegyezte meg az ellenőrző szervezet.
Azok az információs rendszerek, amelyekre a DoD és a DIB támaszkodik működésük során, kibertámadásoknak vannak kitéve, 2015 óta több mint 12 ezer kiberincidens történt. Bár a DoD két folyamatot hozott létre a kiberincidensek kezelésére (egyet az összes incidensre, egyet pedig a kritikus incidensekre), egyiket sem hajtotta végre teljes mértékben. Főleg értesítési hiányosságokat találtak - írja a GAO.
E feltárt hiányosságok egyik oka, hogy a DoD nem jelölt ki felelős szervezetet a megfelelő incidensjelentéssel és az iránymutatásoknak való megfeleléssel, és hogy egy ilyen felelősség kijelölése biztosítaná azt is, hogy a DoD vezetése jobban tájékozott legyen a tárca kiberbiztonsági helyzetéről.
A jelentés azt is megjegyzi, hogy mivel a DoD még nem döntött arról, hogy "a kiberbiztonsági szolgáltatók által észlelt DIB kiberincidenseket meg kell-e osztani az összes érintett érdekelt féllel, [...] elszalaszthatók a rendszerfenyegetések azonosítására és a rendszer gyengeségeinek javítására szolgáló lehetőségek".
A jelentés hat ajánlást fogalmaz meg, amelyek célja a DoD kiberincidensek kezelésének javítása: az incidensek jelentésének és értesítésének felügyeletéért való felelősség kijelölése, a kiberincidensek jelentésének vállalati szintű átláthatósága, az incidensek jelentésére vonatkozó iránymutatás biztosítása, annak érdekében, hogy a DIB-hez kapcsolódó kiberincidensekkel kapcsolatos információkat megosszák az érintett felekkel, a kiberincidensek jelentésének ösztönzése a DIB vállalatok részéről, valamint az adatvédelmi incidensekről szóló értesítések dokumentálása.
