En nylig publisert rapport slakter CIAs interne rutiner etter at flere spionverktøy ble gjort tilgjengelige på internett i 2016. Det skriver CNN.
Samlingen med cybervåpen ble døpt «Vault 7», og angrepsverktøyene skal ha blitt brukt i angrep mot minst 40 mål i 16 ulike land etter at lekkasjen var et faktum.
Svake rutiner
Den utbredte feilbruken av phishing-simuleringer er et problem
.jpg)
Innbruddene skal ha skjedd hos nasjonale myndigheter og internasjonale virksomheter fordelt på bransjer som finans, energi, luftfart, informasjonsteknologi, utdanning og naturressurser.
I rapporten, som stammer fra 2017, heter det at angrepsverktøyene ble tilgjengeliggjort etter det granskingen kaller svært svake interne sikkerhetsrutiner hos etterretningsorganet.
«Gjennom årenes løp har kreativitet og samarbeid blitt prioritert på bekostning av sikkerheten».
«Center for Cyber Intelligence har prioritert å bygge cybervåpen i stedet for å sikre egne systemer.», heter det i rapporten ifølge CNN.
Ingen oversikt
Rapporten slår også fast at CIA ikke hadde oversikt over hvor store skader lekkasjen faktisk medførte. Det skyldes at cybervåpnene ikke var omfattet av noen form for logging eller andre sikkerhetsmekanismer.
«De fleste av de sensitive cybervåpnene var ikke atskilt fra de andre IT–systemene, og brukere delte administratorpassord fritt mellom seg» heter det videre i rapporten ifølge CNN.
CIA får også ramsalt kritikk for at det ikke ble lagt inn noen sikkerhetsmekanismer i tilfelle verktøyene skulle komme på avveie.
Wake up-call
Europeiske industrigrupper tar IT-giganter i forsvar
Oregon-senator Ron Wyden etterlyser nå mer informasjon om sikkerhetsutfordringene internt i organisasjonen.
– Dokumentasjonen vi sitter på viser at utfordringene ikke begrenser seg til små deler av organisasjonen, oppsummerer Whyden i et brev som er sendt USAs sikkerhetsdirektør, John Ratcliffe.
Senatoren mener Vault 7–fadesen bør være er en solid «wake up-call» for de amerikanske etterretningsorganisasjonene.
Antatt gjerningsmann
– Tre år etter at rapporten ble levert, har etterretningsorganisasjonene enda ikke klart å adoptere de mest grunnleggende sikkerhetsteknologiene som brukes i resten av statsapparatet, skriver han videre i brevet til sikkerhetsdirektøren.
Senatoren krever nå svar på hvordan utfordringene skal løses innen utgangen av juli.
Det er en tidligere CIA–ansatt, Joshua Schulte, som er beskyldt for å lekke våpnene. Han ble ikke dømt for forholdene i første rettsinstans, men det er ventet at neste rettssak skal avsluttes innen året er omme, skriver CNN.
Schulte ble først anklaget for forholdene i 2018, men da hadde ikke aktoratet nok bevis til å sikte ham.
Jobbet som utvikler
Den da 29 år gamle amerikaneren jobbet med CIAs Engineering Development Group som utvikler av programvareverktøy for spionasje på utenlandske motstandere.
Schulte ble først fengslet da det ble funnet store mengder innhold som viser seksuelle overgrep mot barn på en server han administrerte.
Ifølge Washington Post skal Schulte ha nektet befatning med både overgrepsmaterialet og lekkasjen av cybervåpnene.
Schulte mener mistanken ble rettet mot ham fordi han var den eneste som i misnøye sluttet i den aktuelle avdelingen i CIA.
– Åpner for større risiko: Flere og flere tar i bruk «skygge-IT»
