يجب على وزارة الخارجية الأمريكية أن تنفذ برنامجها الخاص بمخاطر الأمن السيبراني بشكل كامل وأن تتخذ خطوات إضافية لحماية شبكة وأنظمة تكنولوجيا المعلومات الخاصة بها بشكل أفضل، وهو كتاب مؤلف من 92 صفحة. تقرير مكتب المحاسبة العامة (GAO) يحذر.
أكملت وزارة الخارجية عملية الترخيص لأقل من النصف (44%) من أنظمة المعلومات لديها التي يبلغ عددها حوالي 500 نظام، ولم تقم بعد بتنفيذ نظام مراقبة مستمر على مستوى الوزارة.
وعلى الجانب الإيجابي، قامت الإدارة بتحديد أدوار ومسؤوليات إدارة المخاطر ووضع استراتيجية لإدارة المخاطر السيبرانية.
ومع ذلك، أشار التقرير إلى أنه "إلى أن تنفذ الوزارة أنشطة إدارة المخاطر المطلوبة، فإنها تفتقر إلى ضمانات بأن ضوابطها الأمنية تعمل على النحو المنشود". "علاوة على ذلك، من المحتمل ألا تكون وزارة الخارجية على دراية كاملة بنقاط الضعف والتهديدات المتعلقة بأمن المعلومات التي تؤثر على عمليات المهمة".
ومن المحتمل أن تكون هذه التهديدات لا تعد ولا تحصى.
وزارة الخارجية تواجه مجموعة كبيرة من المهام السيبرانية المتميزة
التقرير، الذي يشكل جزءًا من العمل المكثف الذي يقوم به مكتب محاسبة الحكومة بشأن تحديات الأمن السيبراني وأمن المعلومات التي تواجهها حكومة الولايات المتحدة، جمع 15 توصية للإجراءات التنفيذية التي لا تزال معلقة.
أولها وأهمها التوصية بأن تقوم وزارة الخارجية بتوجيه مدير تكنولوجيا المعلومات لتطوير والحفاظ على ملف تعريف المخاطر على مستوى الوزارة مع إعطاء الأولوية للمخاطر الأكثر أهمية للوزارة.
وبعد ذلك، يجب على وزارة الخارجية وضع خطط للتخفيف من نقاط الضعف التي سجلها رئيس قسم المعلومات، ثم إجراء تقييمات المخاطر على مستوى المكتب للمكاتب الـ 28 التي تمتلك أنظمة معلومات قام مكتب محاسبة الحكومة بمراجعتها.
وأشار التقرير إلى أن الإدارة تواجه أيضًا تحديات في تنفيذ برنامج الاستجابة للحوادث، وتحديث واختبار خطط طوارئ نظام المعلومات، وتكوين قاعدة بيانات المخزون الخاصة بها بشكل صحيح.
يعد تحسين أمن البنية التحتية لتكنولوجيا المعلومات بشكل عام أمرًا ضروريًا، بما في ذلك استبدال تركيبات الأجهزة والبرامج القديمة، والتي ظل بعضها قيد الاستخدام لأكثر من 13 عامًا.
وأشار التقرير إلى أن "هذا يشمل استبدال 23,689 نظامًا للأجهزة و3,102 عملية تثبيت لبرامج نظام تشغيل الشبكة والخادم".
وأضاف التقرير أن مدير تكنولوجيا المعلومات بوزارة الخارجية يواجه أيضًا قيودًا في تأمين أنظمة تكنولوجيا المعلومات بسبب مسؤوليات الإدارة المشتركة وضعف الاتصال.
بينما يشرف مدير تكنولوجيا المعلومات على الشبكة الرئيسية ويضع المعايير، فإن المكاتب الفردية تتعامل مع العديد من المهام بشكل مستقل، بما في ذلك شراء المعدات، وإدارة نظام تكنولوجيا المعلومات، والتمويل.
وخلص التقرير إلى أن هذا النقص في التنسيق يؤدي أيضًا إلى إرباك مسؤولي أمن نظم المعلومات فيما يتعلق بالمتطلبات.
ترجع أوجه القصور هذه إلى حد كبير إلى الثقافة المعزولة للإدارة وعدم كفاية التواصل بين مدير تكنولوجيا المعلومات والمكاتب الفردية.
وحذر التقرير من أنه "إلى أن تعالج وزارة الخارجية هذه العيوب وأوجه القصور الأخرى، يواجه مدير تكنولوجيا المعلومات تحديات في إدارة برنامج الأمن السيبراني الخاص بالوزارة والإشراف عليه، بما في ذلك إدارة المخاطر والاستجابة للحوادث، وتظل أنظمة الوزارة معرضة للخطر".
وفي الوقت نفسه، يهدد الإغلاق الوشيك للحكومة الفيدرالية بالتسبب في تعقيدات إضافية للأمن السيبراني عبر مجموعة من الوكالات والإدارات، حيث ذكرت CISA أنها ستفعل ذلك. - منح إجازة لأكثر من 80% من الموظفين إلى أجل غير مسمى إذا لم يتمكن الكونجرس من التوصل إلى اتفاق لتمويل الحكومة الفيدرالية.
البنية التحتية في خطر من التهديدات الخارجية
ويأتي التقرير في أعقاب الهجوم الناجح على 25 وكالة حكومية أمريكية من قبل المتسللين الصينية - بما في ذلك وزارة الخارجية - في مايو/أيار، مما أدى إلى سرقة 60,000 ألف بريد إلكتروني من كبار المسؤولين.
في خرق البريد الإلكتروني ، سمح مفتاح حساب Microsoft (MSA) المسروق لـ Storm-0558 APT بتزوير رموز المصادقة للتنكر على النحو المصرح به مستخدمي Azure Active Directory (AD)، والحصول على حق الوصول إلى حسابات البريد الإلكتروني لمؤسسة Microsoft 365 والمعلومات الحساسة المحتملة الموجودة بداخلها.
في أبريل 2022، أعلنت وزارة الخارجية عن إنشاء مؤسسة مكتب الفضاء السيبراني والسياسة الرقمية للمساعدة في تشكيل معايير السلوك الحكومي المسؤول في الفضاء الإلكتروني ومساعدة حلفاء الولايات المتحدة على تعزيز برامج الأمن السيبراني الخاصة بهم، مما يعكس الأهمية المتزايدة للأمن السيبراني في السياسة الوطنية والاقتصاد والدفاع.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud/cybersecurity-gaps-plague-state-department-gao-report
