TN Merk: Hensynsløs håndtering av data fra antatte "eksperter" har blitt utsatt, men knapt utbedret. Datalekkasjer (dvs. hackere) er ikke det viktigste for teknokrater, fordi uansett hva som er liten del lekket, begrunner de at de fremdeles har de originale hele dataene som bare kan analyseres av seg selv.
Department of Homeland Security kjører hundrevis av sensitive og topphemmelige databaser uten riktig autorisasjon, noe som lar byrået være usikker på om det kan "beskytte sensitiv informasjon" mot cyberangrep.
An revisjon som ble offentliggjort torsdag av inspektøren, fant flere svakhetsområder i byråets informasjonssikkerhetsprogrammer.
Spesielt opererer avdelingen 136 “sensitive, men ikke klassifiserte,” “Secret” og “Top Secret” systemer med “utløpte myndigheter for å operere.”
Fra og med juni 2015 hadde DHS 17-systemer klassifisert som 'Secret' eller 'Top Secret' uten [myndigheter til å operere] ATO-er, "sa inspektøren. "Uten ATOs kan DHS ikke sikre at systemene er ordentlig sikret for å beskytte sensitiv informasjon som er lagret og behandlet i dem."
Kystvakten med 26 ledet byråene som opererte usikrede databaser, fulgt av Federal Emergency Management Agency med 25, og tollvesenet og grensebeskyttelse med 14.
Department of Homeland Security hovedkvarter driver 11, og Transportation Security Administration kjører 10 sensitive eller hemmelige systemer med utløpte autorisasjoner.
Tilsynet fant også at det manglet sikkerhetsoppdateringer for datamaskiner, nettlesere og databaser, og svake passord forlot byråets informasjonssikkerhet sårbar.
"Vi fant flere sårbarheter angående Adobe Acrobat, Adobe Reader og Oracle Java-programvare på Windows 7-arbeidsstasjonene," sa inspektøren. "Hvis de blir utnyttet, kan disse sikkerhetsproblemene gi uautorisert tilgang til DHS-data."
Gjennomgangen, som ble påbudt av Federal Information Modernization Act of 2014, fant at interne nettsteder også var utsatt for "clickjacking" -angrep og "cross-site and cross-frame sårbarheter."
"Sikkerhetssvagheter på tvers av nettsteder og kryssrammer gjør det mulig for angripere å injisere ondsinnet kode på ellers godartede nettsteder," sa inspektøren. "Et klikkeangrep bedrar et offer til å samhandle med bestemte elementer på et målnettsted uten brukerkunnskap, og utfører privilegert funksjonalitet på offerets vegne."
