מערכות הנשק שפיתח משרד ההגנה האמריקני פגיעות להתקפות סייבר, ומשמעות הדבר היא כי חלק מהגורמים הרועשים עם כישורי פריצה עשויים להשתלט על אמצעי לחימה כאלה מבלי שהם ישימו לב אליהם, על פי דו"ח חדש של לשכת האחריות הממשלתית בארה"ב (GAO), שפורסם באוקטובר 9.
וה- DOD נראה בלתי מוסר מהאיומים: אף על פי שבדיקות שערכו ה- DOD עצמו הראו פגיעויות כאלה, אמרו אנשי המחלקה ל- GAO כי הם "האמינו שהמערכות שלהם מאובטחות והוזילו את תוצאות הבדיקה כלא מציאותיות", על פי הדו"ח, מבוסס על ניתוח של בדיקות, מדיניות והנחיות DOD בנושא סייבר ברשת, וכן ראיונות עם DOD.
הדו"ח מסר בדו"ח כי "באמצעות כלים וטכניקות פשוטים יחסית, בודקים הצליחו להשתלט על מערכות ולפעול ברובם ללא זיהוי, בין היתר בגלל סוגיות בסיסיות כמו ניהול סיסמאות לקוי ותקשורת לא מוצפנת".
למעשה, צוות בדיקה אחד פיצח את סיסמת מנהל המערכת תוך 9 שניות בלבד. גורם ב- DOD אמר כי זמן פיצוח הסיסמאות אינו מדד שימושי לאבטחת מערכת מכיוון שתוקף יכול לבלות חודשים או שנים בניסיון לפרוץ למערכת; עם ציר הזמן ההוא, בין אם לוקח כמה שעות או כמה ימים לנחש סיסמא אינה משמעותית. עם זאת, ה- GAO אמר כי דוגמה כזו חושפת עד כמה קל לעשות זאת ב- DOD. (הסופרת הקווית אמילי דרייפוס דיווחה על סדק הסיסמאות בן 9 השניות באוקטובר 10.)
הניתוח והדו"ח התבקשו על ידי ועדת הכוחות המזוינים של הסנאט לקראת טריליון הדולר של 1.66 דולר ש- DOD מתכננת להוציא על מנת לפתח את "התיק" הנוכחי של מערכות הנשק העיקריות שלה.
יותר ויותר מערכות נשק תלויות בתוכנה לביצוע הפונקציות שלהן. כלי הנשק קשורים גם לאינטרנט וכלי נשק אחרים, מה שהופך אותם למתוחכמים יותר, על פי ה- GAO. ההתקדמות הזו גם הופכת אותם ל"פגיעים יותר להתקפות סייבר ", אמר ה- GAO.
ניתן לפרוץ כל חלק במערכת נשק שמונע על ידי תוכנה. דוחות GAO מסרו כי "דוגמאות לפונקציות המאפשרות תוכנה - ורגישות לפשרות - כוללות הפעלה וכיבוי של מערכת, מיקוד טיל, שמירה על רמות החמצן של טייס והטסת מטוסים".
למרות שה- DOD החל לבצע שיפורים באבטחת הרשת במהלך השנים האחרונות, אמר ה- GAO, הוא עומד בפני מספר אתגרים, שאחד מהם הוא היעדר שיתוף המידע בין תוכניות. לדוגמה, "אם מערכת נשק עברה פיגוע סייבר, לא היו מסופקים לפקידים בתוכנית ה- DOD פרטים ספציפיים על אותה פיגוע מקהילת המודיעין בגלל סוג המיון של אותו מידע", נכתב בדו"ח.
בנוסף, ה- DOD מתקשה להעסיק ולשמור על מומחי אבטחת סייבר, נכתב בדו"ח.
למרות שה- GAO אמר כי אין לה המלצות כעת, הסוכנות חושבת שהפגיעויות שנמצאו בניתוח שלה "מייצגות חלק מכלל הפגיעויות הנובעות ממגבלות הבדיקה. לדוגמה, לא כל התוכניות נבדקו והבדיקות אינן משקפות את הטווח המלא של איומים. "
מאמר מקורי ב- מדע חי.
