FHFA معرضة بشدة لتهديدات القرصنة: مكتب المفتش العام
ال الوكالة الفيدرالية لتمويل الإسكان (FHFA) حذر مكتب المفتش العام (OIG) الوكالة من أن لديها أوجه قصور خطيرة في أمان الشبكة مما يجعل أنظمة الكمبيوتر الخاصة بها عرضة للقرصنة، بناءً على “اختبار الاختراق” الذي أجراه مكتب المفتش العام. وهذا وفقًا لتقرير صادر عن FHFA OIG نفسه.
كشف الاختبار عن “نقاط ضعف خطيرة” تزيد من احتمالية محاولات القرصنة الناجحة من قبل جهات فاعلة سيئة، ويفصل التقرير المكون من 38 صفحة بعض الحالات التي نجح فيها الاختبار في اختراق أنظمة أمان الكمبيوتر الخاصة بـ FHFA.
وقال التقرير: “في إحدى الحالات، تمكنا من الوصول إلى حساب مستخدم مميز سمح لنا بعرض الملفات أو تحريرها أو حفظها على محركات الأقراص المحلية لأي كمبيوتر محمول أو سطح مكتب لأي مستخدم، بما في ذلك المديرين التنفيذيين في FHFA على أعلى المستويات”. “لقد تمكنا أيضًا من رفع مستوى حساب المستخدم القياسي إلى مسؤول المجال والتحكم الكامل في شبكة FHFA. لقد كان لدينا في الأساس إمكانية الوصول غير المقيد إلى البنية التحتية لتكنولوجيا المعلومات (IT) الخاصة بالوكالة.
ويصف التقرير أوجه القصور الأمنية بأنها خطيرة للغاية بسبب الطبيعة الحساسة لسجلات الكمبيوتر الخاصة بوكالة FHFA.
“تستضيف شبكة وأنظمة FHFA مجموعة متنوعة من البيانات والمعلومات مثل التقارير المالية والبيانات من فاني ماي و فريدي ماك, حلول التوريق المشتركة، LLC، ال البنوك الفيدرالية لقروض الإسكان، و مكتب المالية، بالإضافة إلى معلومات التعريف الشخصية لموظفي FHFA،” كما يصف التقرير. “على هذا النحو، من المهم أن تكون التكوينات والضوابط المعمول بها فعالة لمنع الوصول غير المصرح به إلى الأنظمة والمعلومات.”
وأوضح التقرير أن الدرجة التي تمكن بها المختبرون من اختراق أنظمة الكمبيوتر الخاصة بالوكالة تظهر أن الثغرات الأمنية التي تم تحديدها تتطلب اهتمامًا فوريًا.
وقال التقرير: “إن اتساع وعمق وتأثير أوجه القصور في أمن الشبكة هي أمور خطيرة تتطلب إجراءات تصحيحية سريعة من قبل إدارة FHFA”. “وبناء على ذلك، فإننا نبلغ عن ثماني نتائج تتعلق بأوجه القصور في السيطرة التي تم تحديدها.”
يمكن أن تشمل بعض النتائج المحتملة المساس بـ “سرية ونزاهة وتوافر المعلومات الحساسة الخاصة بـ FHFA”، بما في ذلك الحصول على معلومات التعريف الشخصية، واستخراج بيانات الوكالة الحساسة أو حذفها أو تعديلها، واكتشاف بيانات الاعتماد بما في ذلك أسماء المستخدمين وكلمات المرور أيضًا. كتسويات للأنظمة التي يمكن أن تعيق قدرة FHFA على إنجاز مهمتها.
في ختام التقرير، استجابت إدارة FHFA لكل من النتائج الفردية وعرضت الإجراءات التصحيحية التي تخطط لاتخاذها. وقد نظر مكتب المفتش العام في جميع الإجراءات التصحيحية المخطط لها لتحقيق أهداف توصياته.
وقال مكتب المفتش العام: “بشكل عام، نحن نعتبر إدارة FHFA مستجيبة للتوصيات الواردة في هذا التقرير”. “ستظل هذه التوصيات مفتوحة حتى نتأكد من تنفيذ الإجراءات التصحيحية بالكامل. الرد المكتوب من FHFA، في مجمله […]”.
قام لويس كامبودوني، كبير مسؤولي المعلومات في FHFA، بتفصيل رد الوكالة على التقرير.
وكتب كامبودوني إلى مكتب المفتش العام: “لقد كلفت مكتب التكنولوجيا وإدارة المعلومات (OTIM) بوضع وتنفيذ خطة شاملة لمعالجة التوصيات”. “أنا ملتزم بمعالجة النتائج الأساسية للتقرير، وقد بدأت OTIM بالفعل العديد من إجراءات العلاج لمعالجة التوصيات.”
