Агентство по кибербезопасности США признало утечку данных для входа в правительственные системы и отсутствие плана действий при инцидентах
Американское агентство кибербезопасности CISA признало, что в мае столкнулось с утечкой чувствительных учетных данных, не имея готового алгоритма действий – план пришлось писать в режиме реального времени.
Федеральное агентство кибербезопасности США CISA в мае не располагало готовым планом реагирования на киберинцидент – именно тогда журналист-расследователь сообщил агентству, что подрядчик открыл публичный доступ к чувствительным ключам и учетным данным для входа в правительственные системы.
CISA – подразделение Министерства внутренней безопасности, отвечающее за защиту федеральных сетей и критической инфраструктуры. В итоговом отчете, опубликованном в пятницу, агентство признало: его сотрудники "были вынуждены тратить время на разработку [плана действий] на начальных этапах инцидента". Агентство также указало, что планы реагирования следует готовить заблаговременно – "для всех предполагаемых ситуаций", чтобы не импровизировать во время реального кризиса.
Сколько времени ушло на составление плана и насколько это задержало реагирование – агентство не уточнило. Пресс-служба CISA не ответила на запрос TechCrunch до момента публикации.
Независимый журналист по кибербезопасности Брайан Кребс сообщил в мае: исследователь из компании GitGuardian обратил его внимание на сотни открыто хранящихся паролей в публичном репозитории GitHub, который загрузил сотрудник подрядчика CISA. По словам Кребса, исследователь пытался связаться с подрядчиком, но ответа не получил. Лишь после того, как Кребс сам обратился в CISA, агентство удалило репозиторий и отозвало все скомпрометированные учетные данные, заменив их новыми.
CISA заверила, что никакие данные клиентов или оперативная информация в ходе инцидента не пострадали. Агентство поблагодарило исследователя и журналиста за помощь и признало, что каналы для уведомлений от исследователей безопасности "не были четко определены" – теперь эти процессы изменены, чтобы исследователи могли связываться с агентством быстрее и проще.
С января 2025 года, когда начался второй президентский срок Дональда Трампа, CISA работает без постоянного директора. За это же время агентство пережило сокращения, принудительные отпуска и увольнения, затронувшие около трети его персонала.
CISA было создано в 2018 году как ответ на растущие киберугрозы для федеральной инфраструктуры США. За семь лет существования агентство пережило ряд резонансных инцидентов – в частности, взлом SolarWinds в 2020 году и атаки на системы водоснабжения. Отсутствие готового плана реагирования свидетельствует о том, что речь идет не об единичном просчете, а о системном пренебрежении внутренними протоколами безопасности – теми самыми стандартами, соблюдения которых CISA требует от других федеральных ведомств.
Отдельного анализа заслуживает вопрос о том, как сокращение персонала повлияло на готовность агентства к инцидентам. С начала второго президентского срока Дональда Трампа CISA лишилась около трети сотрудников в результате увольнений, административных отпусков и реорганизации. Именно эти специалисты традиционно отвечают за разработку и актуализацию внутренних регламентов. В условиях кадрового дефицита подготовка таких документов, как playbook реагирования на инциденты, неизбежно отходит на второй план – и майский случай это наглядно продемонстрировал. Агентство, призванное защищать критическую инфраструктуру страны, фактически само оказалось в роли неподготовленной жертвы инцидента.