Slordigheid maakt Amerikaans luchtverkeer eenvoudige prooi voor cyberterroristen
Dat concludeert het Government Accountability Office (GAO) in een rapport dat het op verzoek van het Amerikaanse Congres heeft opgesteld. De bevindingen stemmen niet vrolijk.
Het GAO constateert dat de Federal Aviation Administration tekortschiet bij de organisatiebrede aanpak van IT-beveiliging. Weliswaar kent de FAA wel een stuurgroep voor het onderwerp, maar de verantwoordelijkheden binnen de organisatie voor uitvoering van besluiten op dat terrein zijn niet helder belegd. Er is ook niet gebleken dat de FAA zijn beveiligingsbeleid aanpast op belangrijke veranderingen in het 'national aviation system', zoals de toenemende rol van computernetwerken, en dan met name het internet als communicatienetwerk.
Dubieuze praktijken
Het gebrek aan gewicht dat de top hecht aan IT-beveiliging, krijgt lager in de organisatie zijn weerslag in praktijken die directe risico's op een hack opleveren. De GAO trof computers aan waarop drie jaar gelden gepubliceerde patches nog niet aangebracht waren. Er draaiden ook nog servers in een sleutelrol die de houdbaarheidsdatum gepasseerd waren en door de leveranciers helemaal niet meer ondersteund werden. Er is ook te weinig aandacht bij de FAA voor het controleren van de communicatie van het national aviation system met externe IT-systemen die mogelijk niet goed beveiligd zijn.
Dat alleen al vormt een risico. Maar om het hackers nog makkelijker te maken, dwingt de FAA het gebruik van sterke wachtwoorden niet af. Beheer van en controles op toegangsrechten schieten tekort. Gevoelige gegevens worden niet altijd versleuteld. Het configuratiebeheer wordt niet altijd volgens de regelen der kunst uitgevoerd. Medewerkers hebben niet altijd de training op IT-beveiligingsgebied die passend is voor hun verantwoordelijkheden. En de FAA monitort slechts in beperkte mate of er verdachte activiteiten op zijn netwerken plaatsvinden.
Het GAO besluit zijn rapport Information Security: FAA Needs to Address Weaknesses in Air Traffic Control Systems met 17 aanbevelingen. De FAA heeft het rapport 30 dagen voor publicatie in handen gekregen; hoeveel van de aanbevelingen inmiddels zijn uitgevoerd, is onduidelijk.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee