CISA nie posiadała planu działania przed wystąpieniem kryzysu

10

Wszystko wydarzyło się w maju. Wykonawca popełnił poważny błąd. Zostawił szeroko otwarte drzwi wejściowe.

Brian Krebs jako pierwszy odkrył bałagan. Nie było to tylko drobne przeoczenie, ale sytuacja przypominająca sytuację cyfrowego zakładnika. Pracownik wykonawcy CISA przesłał do GitHub repozytorium zawierające ogromne zbiory haseł. Klucze umożliwiające dostęp do systemów rządowych USA były ogólnodostępne i dostępne dla każdego, kto posiada przeglądarkę internetową.

Dochodzenie CISA w sprawie incydentu ujawniło niewygodną prawdę: agencja nie miała planu działania. Żadnego. Podczas gdy kurz i szok wywołany pierwszym odkryciem problemu opadły, pracownicy CISA nie podjęli działań — wymyślili to.

„Personel musiał poświęcić czas na stworzenie planu reakcji na wczesnych etapach incydentu.”

Pomyśl o tym. Jesteś tarczą chroniącą sieci federalne przed atakiem, ale improwizujesz, jak utrzymać tę tarczę, gdy zacznie wyciekać dane. To nie powinno tak działać, ale dokładnie tak się stało.

Krebs zauważył lukę. Badacz GitGuardian najpierw próbował ostrzec wykonawcę. Cisza. Odpowiedzią jest pustka. Następnie Krebs poszedł w górę łańcucha: skontaktował się z CISA. Dopiero po tym podjęto działania.

Repozytorium zostało usunięte. Poświadczenia zostały anulowane i zastąpione.

Żadne dane klientów nie zostały skradzione. To przynajmniej coś, tak sądzę. CISA podziękowała dziennikarzowi i badaczowi za ostrzeżenie w odpowiednim czasie. Dosłownie wyszliśmy z kłopotów o włos. Być może za blisko.

Agencja przyznała, że ​​jej kanały komunikacji z badaczami bezpieczeństwa były niewyraźne. „Niezbyt dobrze zdefiniowane” – stwierdzili. Teraz sytuacja jest naprawiana. Wdrażane są szybsze ścieżki powiadamiania i tworzone są plany działania dla przewidywanych potrzeb. Pomysł jest prosty: nie należy pisać zasad gry podczas pożaru. Trzeba je przeczytać, zanim pojawi się pierwsza iskra.

Ale nadal było opóźnienie. Rzecznik agencji nie chciał powiedzieć, ile czasu stracono na opracowanie planu działania. Cisza w tej sprawie mówi sama za siebie.

Czy to zaskakujące?

Infrastruktura jest wzmacniana. Ludzie zapominają zainstalować aktualizacje zabezpieczeń. Czasami nawet obrońcy muszą dowiedzieć się, co zrobić, gdy nadejdzie panika.