Агентство кібербезпеки США визнало витік даних для входу в урядові системи і відсутність плану дій під час інцидентів
Американське агентство кібербезпеки CISA визнало, що у травні зіткнулося з витоком чутливих облікових даних без готового алгоритму дій – план довелося писати в режимі реального часу.
Федеральне агентство кібербезпеки США CISA у травні не мало готового плану реагування на кіберінцидент – саме тоді журналіст-розслідувач повідомив агентству, що підрядник оприлюднив у відкритому доступі чутливі ключі й облікові дані для входу в урядові системи.
CISA – підрозділ Міністерства внутрішньої безпеки, відповідальний за захист федеральних мереж і критичної інфраструктури. У підсумковому звіті, оприлюдненому в п'ятницю, агентство визнало: його персонал "змушений був витратити час на розробку [плану дій] на початкових етапах інциденту". Агентство також зазначило, що плани реагування слід готувати заздалегідь – "для всіх передбачуваних ситуацій", щоб не імпровізувати під час реальної кризи.
Скільки часу витратили на складання плану і наскільки це затримало реагування – агентство не уточнило. Прес-служба CISA не відповіла на запит TechCrunch до моменту публікації.
Незалежний журналіст з кібербезпеки Браян Кребс повідомив у травні: дослідник із компанії GitGuardian звернув його увагу на сотні відкрито збережених паролів у публічному репозиторії GitHub, який виклав співробітник підрядника CISA. За словами Кребса, дослідник намагався зв'язатися з підрядником, але відповіді не отримав. Лише після того, як Кребс сам звернувся до CISA, агентство видалило репозиторій і анулювало всі скомпрометовані облікові дані, замінивши їх новими.
CISA запевнила, що жодні дані клієнтів або оперативна інформація під час інциденту не постраждали. Агентство подякувало досліднику та журналісту за допомогу й визнало, що канали зворотного зв'язку для сповіщень від дослідників безпеки "не були чітко визначені" – тепер ці процеси змінено, щоб дослідники могли зв'язуватися з агентством швидше й простіше.
З січня 2025 року, відколи розпочався другий президентський термін Дональда Трампа, CISA працює без постійного директора. За цей же час агентство зазнало скорочень, примусових відпусток і звільнень, які торкнулися приблизно третини його персоналу.
CISA було створено у 2018 році як відповідь на зростаючі кіберзагрози для федеральної інфраструктури США. За сім років існування агентство пережило низку резонансних інцидентів – зокрема злам SolarWinds у 2020 році та атаки на системи водопостачання. Відсутність готового плану реагування свідчить про те, що проблема не в окремій прогалині, а в системному нехтуванні внутрішніми протоколами безпеки – тими самими стандартами, дотримання яких CISA вимагає від інших федеральних відомств.
Окремого аналізу потребує питання, чи могли скорочення персоналу безпосередньо вплинути на готовність агентства до інцидентів. З початку другого президентського терміну Дональда Трампа CISA втратила близько третини співробітників через звільнення, відпустки без збереження зарплати та реорганізацію. Саме ці фахівці традиційно відповідають за розробку та актуалізацію внутрішніх регламентів. За умов кадрового дефіциту підготовка таких документів, як playbook реагування на інциденти, неминуче відходить на другий план – і травневий випадок це наочно продемонстрував. Агентство, яке має захищати критичну інфраструктуру країни, фактично саме опинилося в ролі непідготовленої жертви інциденту.