Пентагон обнаружил, что сотрудники Министерства обороны (DoD) виновны в несанкционированном использовании своих служебных смартфонов, что ставит под угрозу национальную безопасность.
А отчет (откроется в новой вкладке) от Генерального инспектора Министерства обороны (DoDIG), агентства, ответственного за аудит Министерства обороны, обнаружил использование неавторизованных приложений и сервисов на смартфонах работников в огромных масштабах.
Кроме того, было мало инфраструктуры или политик, которые позволяли Министерству обороны контролировать и управлять использованием этих устройств, а пользователи не проходили надлежащую подготовку по их приемлемой и безопасной эксплуатации.
Неавторизованные приложения
На рабочие телефоны были установлены неуправляемые приложения, связанные с покупками, играми, VPN и, как ни странно, «приложения для дилеров роскошных яхт», а для официальных сообщений использовались неутвержденные приложения для обмена сообщениями, что противоречит правилам Министерства обороны США и создает риски для кибербезопасности.
Основная проблема, связанная с этими приложениями, подчеркивается в отчете, заключается в том, что они часто имеют разрешения, позволяющие получить доступ к другой информации, хранящейся на телефоне, такой как списки контактов, фотографии и данные GPS.
Другие приложения также явно имели вредоносные функции, о которых было известно, или содержали потенциально неприемлемый контент, например связанный с потоковым видео и азартными играми.
Возможно, более тревожным было отсутствие надзора, упомянутое в отчете, в котором отмечается, что Министерство обороны не эффективно управляло использованием устройств и не предупреждало сотрудников о потенциальных опасностях неправильного использования рабочих устройств.
«Персонал Министерства обороны может непреднамеренно потерять или намеренно удалить важные сообщения Министерства обороны в неуправляемых приложениях для обмена сообщениями. Кроме того, мобильные приложения, которые используются не по назначению персоналом Министерства обороны или скомпрометированы злоумышленниками, могут раскрывать информацию Министерства обороны или внедрять вредоносное ПО в системы Министерства обороны».
Рекомендации отчета на будущее заключались в том, чтобы пересылать сообщения из несанкционированных в санкционированные приложения для обмена сообщениями и удалять их, а также не предоставлять доступ к общедоступным магазинам приложений «без обоснованной необходимости».
Он также рекомендовал составить список утвержденных приложений для служебного пользования и обновить политики в отношении использования телефонов и приложений, а также провести обучение «ответственному и эффективному использованию мобильных устройств и приложений».
Это, конечно, не первый раз, когда Министерство обороны получает выговор за слабое отношение к кибербезопасности. В 2021 году бывший директор подразделения цифровой службы обороны министерства санкционировал использование «неуправляемого мобильного приложения для официальных целей Министерства обороны США в нарушение политики Министерства обороны по обмену электронными сообщениями и хранению записей».
Кроме того, совсем недавно другая проверка, на этот раз проведенная Министерством внутренних дел США, показала, что практика использования паролей была довольно ужасной, и многие из них можно было довольно легко взломать с помощью стандартных методов взлома.
