Selv militære IT-systemer mangler varsel mot inntrengere

USAs kongress forferdes i disse dager av rapporter om stadig flere innbrudd i offentlige IT-systemer, også militære. Nesten ingen av dem har snokvarsling.

Kongressen gjennomfører en høring basert på rapporter fra blant andre den amerikanske riksrevisjonen General Accounting Office (GAO) og regjeringens tjenesteorgan General Services Administration (GSA), samt avhør av eksperter.

Riksrevisjonens 22-siders rapport er tilgjengelig på web, og er en interessant beskrivelse av uholdbare tilstander som man rimeligvis kan anta også gjelder for europeiske land og Norge. Klikk på "GAO Reports" på hjemmesiden, og på "Today's Reports" på rapportsiden. Under overskriften "Reports and Testimony issued on:" er det en rekke datoer. Klikk på "April 5, 2001". Der er det en lenke til pdf-dokumentet "Information Security: Weaknesses Continue to Place Critical Federal Operations and Assets at Risk".

GAO-rapporten forteller at hver av de 24 store statsinstitusjonene som fikk sin IT-sikkerhet revidert, hadde svært alvorlige svakheter. Dette gjaldt blant annet flere departementer - energi, forsvar og finans - samt skattedirektoratet (Internal Revenue Service) og rikstrygdeverket (Social Security Administration).

Det heter blant annet at finansdepartementets sårbare IT-systemer åpner for angrep mot overføringer av "milliarder av dollar i offentlige overføringer", og at svakhetene i forsvarsdepartementet "øker sårbarheten i ulike militære operasjoner".

Om skattedirektoratet heter det at revisjonen avdekket hvordan datasnoker kunne fått tilgang til og endret informasjon i databasen. Miljøvernmyndighetene EPA (Environmental Protection Agency) kritiseres spesielt sterkt, blant annet fordi systemer ikke var blitt oppdatert med spesifikke fikser, trass i at sårbarheten var blitt påpekt under en revisjon tre år tidligere.

Under høringen fortalte GAO-representanten at tallet på alvorlige IT-angrep mot de væpnede styrkene økte fra 600 i 1999 til 715 i 2001.

I rapporten fra General Services Administration (GSA) gjøres det rede for 155 kjente tilfeller der datasnokere var i stand til å oppnå fulle rettigheter til føderale datasystemer. I 1999 var det 110 slike tilfeller, mot 64 i 1998. GSAs oversikt gjelder 32 statsinstitusjoner. 75 prosent av angrepene kom fra utlandet, mot 60 prosent i 1999. De rettet seg hovedsakelig mot tjenester for vitenskapelig forskning, særlig innen miljøvern.

Under høringen advarte representanter for GSA at de 155 tilfellene var bare dem man hadde greid å detektere. Dårlige systemer for overvåkning og varsling av inntrengere gjør at det reelle tallet på innbrudd må antas å være rundt fem ganger så høyt.

Ekspertene la til at 95 prosent av innbruddene kunne vært stanset med hensiktsmessig prosedyrer for systematisk oppgradering med fikser for offentlig kjente sikkerhetsproblemer. Det ble pekt på at bare fem til ti prosent av alle statsinstitusjoner gjør bruk av verktøy for å overvåke hva som skjer i IT-systemene, og varsle når det avsløres unormale ting.

Kongressrepresentantene ble ekstra forferdet da en ekspert demonstrerte et nettsted på et afrikansk domene, med tilbud om et "smørgåsbord" av gratis snokverktøy.

Et annet vitne var direktør Ronald Dick i FBIs National Infrastructure Protection Center. Han fortalte at 102 tilfeller av alvorlige datainnbrudd i offentlige systemer - både sivile og militære - er under etterforskning. Dick mener at utenlandske væpnede styrkers "informasjonskrig" mot kritiske amerikanske systemer er "kanskje den største potensielle kybertrusselen mot vår nasjonale sikkerhet."

Til toppen