Неясно, принимает ли законодательный орган меры по устранению уязвимостей своей безопасности.
Сэм Меллинз · 6 августа 2024 г.
Апрельская кибератака на законодательный орган штата Нью-Йорк привела к тому, что хакеры получили доступ к конфиденциальной финансовой информации 710 жителей Нью-Йорка, согласно отчету об инциденте, полученному New York Focus через запрос публичных записей. Неясно, предпринимает ли законодательный орган какие-либо шаги для устранения недостатков безопасности, которые привели к получению доступа хакерами.
Целью атаки была Комиссия по составлению законопроектов в законодательном органе, которая составляет законопроекты, предлагаемые законодателями. Взлом , о котором широко сообщалось в то время , сорвал процесс составления законопроекта и вынудил персонал комиссии временно вернуться к устаревшей компьютерной системе 1994 года, пока они завершали работу над государственным бюджетом, по словам губернатора Кэти Хоукул.
О получении хакерами доступа к конфиденциальной финансовой информации ранее не сообщалось.
В день взлома, 17 апреля, правительственные чиновники заявили, что им сообщили, что это, по всей видимости, атака с целью вымогательства, стратегия, при которой хакеры блокируют доступ к определенным данным, пока жертва не заплатит определенную сумму денег. Хакеры, чья личность и методы остаются публично неизвестными, получили номера водительских прав, информацию о кредитных картах и номера социального страхования, согласно отчету об инциденте.
В отчете говорится, что атака затронула 730 человек, в том числе 710 жителей Нью-Йорка. Не уточняется, у скольких из этих людей были скомпрометированы конкретные виды информации.
По словам Дугласа Джонса, почетного профессора компьютерных наук в Университете Айовы, хакеры могут использовать полученную информацию для попытки кражи личных данных.
«Этого может быть достаточно, чтобы открывать банковские счета, брать кредиты и совершать покупки по кредитным картам на имя жертвы», — сказал Джонс.
Лидеры законодательных органов отказались предоставить какие-либо дополнительные подробности об атаке или о том, как они отреагировали на нее. Глава Комиссии по разработке законопроектов Кристофер Хиггинс отказался отвечать на вопросы, вместо этого переадресовав их директору по связям с общественностью демократов Сената Майклу Мерфи, который не ответил на многочисленные запросы о комментариях. Представитель спикера Ассамблеи Карла Хисти Майкл Уайленд также не ответил на запросы.
Когда конфиденциальные данные взломаны, государственные органы по закону обязаны информировать Управление служб информационных технологий, государственное агентство, ответственное за кибербезопасность, которое затем должно провести расследование. Но хотя ITS помогла вернуть компьютерную систему в онлайн, нет никаких признаков того, что законодательный орган передал новости об украденных финансовых данных, и агентство не провело расследование инцидента.
«После того, как ответные меры были завершены, атака локализована и бюджет успешно доставлен, мы посчитали свою работу выполненной», — сказал Скотт Рейф, отвечающий за коммуникации в ITS .
« LBDC впоследствии не информировала нас о том, что были выполнены конкретные юридические требования, которые могли бы повлечь за собой дополнительные действия со стороны ITS или любых других исполнительных органов», — добавил он.
В апреле Хочул пообещала , что ее администрация проведет расследование нападения и поделится результатами с общественностью. Этого не произошло, возможно, потому, что у нее нет полномочий проводить расследование без приглашения законодательного органа.
«У меня одна из лучших команд по кибербезопасности во всей стране. Я знал, что это приоритет. Никто не сделает это лучше нас, пытаясь докопаться до сути этой атаки», — сказал Хочул во время интервью на шоу Брайана Лерера на WNYC . «Мы дадим людям знать то, что мы знаем, когда мы это узнаем».
Неясно, начал ли законодательный орган собственное расследование.
Поскольку лидеры законодательных органов хранят молчание, ключевые вопросы о нарушении по-прежнему остаются без ответов.
Один из них — это те, кого затронула атака. В Комиссии по разработке законопроектов работает менее 500 человек, то есть масштаб атаки, затронувшей 730 человек, вышел за рамки ее персонала.
Другой вопрос, вносили ли злоумышленники изменения в текст законов или законопроектов, заявили два эксперта по безопасности. В отчете об инциденте говорится, что хакеры получили другую нефинансовую информацию, но не уточняется, какую именно.
«Любой разумный офис по кибербезопасности проверит, что данные не были подделаны», — сказала Сьюзан Ландау, профессор компьютерных наук в Университете Тафтса и эксперт по кибербезопасности. «Незначительное изменение может иметь большие последствия».
За последние годы государственные учреждения подвергались хакерским атакам еще несколько раз , хотя нет никаких доказательств того, что в этих случаях была скомпрометирована финансовая информация, а два из подвергшихся атакам учреждений прямо заявили тогда, что этого не произошло.
По словам Альберта Фокса Кана, основателя и директора Surveillance Technology Oversight Project, нью-йоркской группы по защите конфиденциальности в цифровой среде, отсутствие расследования ставит под сомнение стратегию государства по предотвращению кибератак.
«Нам нужно понять, как государство инвестирует, чтобы не допустить повторения этого», — сказал Кан. «Если вы не изучите, что пошло не так, вам будет гораздо сложнее предотвратить это».
В прошлом году Хочул добавила $35 млн в бюджет штата на кибербезопасность и выпустила общегосударственную стратегию кибербезопасности. Но исполнительная власть не имеет полномочий устанавливать правила для законодательного органа.
Вероятно, взлом был усугублен использованием устаревших методов безопасности. Тот факт, что хакеры не только сделали систему составления законопроектов непригодной для использования, но и смогли получить доступ к номерам социального страхования и финансовой информации, указывает на то, что для составления законопроектов и для расчета заработной платы использовалась одна и та же система — очевидное табу, сказал Джонс, профессор из Айовы.
«Вы не хотите, чтобы нерадивый сотрудник открыл электронное письмо, связанное с работой, и оно нарушило систему расчета заработной платы», — сказал он. «Такое разделение было обычным явлением в корпоративном мире на протяжении 50 лет».
Кроме того, если комиссия была вынуждена вернуться к своей компьютерной системе 1994 года, это говорит о том, что у нее не было обновленной резервной версии, сказал Ландау.
Кан заявил, что эта атака должна стать сигналом тревоги для правительства штата.
«Это парализовало невероятно важную инфраструктуру, и вдобавок ко всему, это раскрыло всю эту конфиденциальную информацию», — сказал он. «Для меня очень странно, что вы не видите развернутого ответа».
Хулиганы