Атака управління поверхнею, урядом, галузевою специфікою
Директива про відстеження закупівель Трампа може піддавати величезні дані уряду загрозам
Кріс Ріотта (@chrisriotta)
27 лютого 2025 року
Президент США Дональд Трамп наказав федеральним агенціям побудувати нові технологічні системи, здатні відстежувати та виправдати кожну закупівлю в уряді, найбільшого у світі покупця товарів. Якщо це буде побудовано, така система може піддавати величезні труд -чутливі дані до злому та іноземних маніпуляцій.
Див. Також: Нові напади. Витрати на зростання. Справжня вартість порушення безпеки.
Трамп підписав виконавчий наказ у середу ввечері, направляючи агенції, щоб співпрацювати зі своїм департаментом урядової ефективності, такими як система, що вимагає, щоб він також включав виправдання для кожного платежу. Система повинна мати механізм керівника агентства “для паузи та швидко переглянути будь -який платіж”.
Коли агенції змушені різко впроваджувати інновації без часу розробки надійних архітектур безпеки та проведення суворого тестування, вони створюють відкрите запрошення для зловмисників, повідомили колишні федеральні чиновники та експерти з кібербезпеки в державному секторі. Цей точний ризик полягав у тому, що призвело до створення цифрової служби США в адміністрації Обами – до того, як вона була ребрендована минулого місяця як дож, в основному керована Трампом та його ртутним багатомільйонним радником Елоном Маском (див.: Федеральний працівник Елона Маска Ікр “кошмар безпеки”.).
“Потрібно будувати складні системи на льоту-це надійний рецепт катастрофи”,-сказав Террі Данлап, старший віце-президент Netrise та колишній аналітик вразливості глобальної мережі в Агентстві національної безпеки. “Очікуйте невпевненого коду, неперевірених вразливих місць та підводних каменів ланцюгів поставок, які могли б легко дозволити зловмисним акторам ковзати в невиявленому”.
Централізація величезної кількості фінансових даних також створить високоцінну ціль – “поспільна буквезія на спині урядового агентства”, – сказав Данлап. Хакери, національні держави або навіть шахрайські інсайдери можуть використовувати таке сховище, щоб спричинити економічну стабільність, компроміс з чутливою розвідкою або навіть порушити національну інфраструктуру, попередив він.
“Коротше кажучи, це вогонь з сміттєзвалища в кібербезпеці, який чекає”, – сказав він.
Багато ініціатив, що зменшують витрати на скорочення витрат та робочої сили, викликали суперечки, від її вимоги, щоб державні службовці надсилали електронні листи своїх часто конфіденційних робочих тижнів, щоб скоротити в Агентстві кібербезпеки та інфраструктури (див.: CISA скорочує нас критичну інфраструктуру новим загрозам.).
Республіканці Палати в середу заблокували демократичні зусилля для дослідження доступу Дога до чутливих федеральних мереж, і вплив його заходів щодо скорочення витрат на кіберзамериканську силу, стверджуючи, що федеральний уряд “здутий” і що масові урядові звільнення були необхідні для вирішення зростаючого дефіциту бюджету.
Федеральний уряд США є найбільш цілеспрямованою організацією у світі за державними спонсорськими суб'єктами загрози завдяки своєму масштабному сховищі особистої інформації та чутливих даних національної безпеки, заявив Тоні Монелл, віце -президент державного сектору в Black Kite та колишній старший радник кібер -політики для Управління секретаря оборони.
“Завдяки такій великій поверхні атаки підрядників, що торкаються мереж USG, їх вразливості кібербезпеки є засобом для використання централізованої системи”, – сказав Монелл ISMG. Актори загрози будуть інтенсивно притягнуті до централізованого сховища даних про договір, сказав він.
Дож, Білий дім та Адміністрація загальних служб не одразу відповіли на запити про коментарі.