Phòng thí nghiệm quốc gia Los Alamos một lần nữa bị đánh vì an ninh máy tính yếu

Los Alamos National Lab again under fire for weak computer security

By Jill R. Aitoro 11/16/2009

Theo: http://www.nextgov.com/nextgov/ng_20091116_2938.php

Bài được đưa lên Internet ngày: 16/11/2009

Những điểm yếu về an ninh thông tin tiếp tục gây tai họa cho Phòng thí nghiệm Quốc gia Los Alamos, theo Văn phòng về Trách nhiệm của Chính phủ (GAO), mà nó đã báo cáo hôm thứ sáu rằng phòng thí nghiệm này đã thất bại để chỉ cho phép những người sử dụng được cấp phép truy cập mạng.

Trong báo cáo tuần trước, GAO đã xác định hàng loạt chỗ bị tổn thương mạng trong một số vùng mang tính sống còn của phòng thí nghiệm này, mà nó quản lý những hoạt động tại những trang thiết bị hạt nhân. Trong số những yếu kém đó đã có sự thất bại trong việc xác định và xác thực người sử dụng, thẩm định truy cập của người sử dụng, mã hóa các thông tin không phổ biến, theo dõi sự tuân thủ các chính sách về an ninh, hoặc kiểm tra các thiết lập an ninh để được cập nhật.

Quản trị An ninh Hạt nhân Quốc gia (NNSA) giám sát phòng thí nghiệm này, mà nó được quản lý bởi An ninh Quốc gia Los Alamos, một nhóm các nhà thầu. Theo GAO, chính sách của NNSA nói rằng những cá nhân phải không chia sẻ các mật khẩu ngoại trừ trong những tình huống khẩn cấp hoặc khi có một sự cần thiết hoạt động quan trọng đặc biệt, và các mật khẩu trên các hệ thống nhạy cảm phải được thay đổi ít nhất 6 tháng một lần. Việc quản trị cũng đòi hỏi cung cấp 2 bộ nhận biết như tên và mật khẩu, và có thể một thẻ thông minh hoặc một dấu vân tay.

“[Phòng thí nghiệm này] đã không luôn quản lý các mật khẩu một cách an toàn trên mạng máy tính không phổ biến”, các nhà điều tra của GAO nói. “Như là kết quả của sự yếu kém, rủi ro ra tăng tồn tại mà những kẻ đột nhập không được phép với ý đồ độc hại có thể đoán được mật khẩu của những cá nhân và sử dụng chúng để giành quyền truy cập phù hợp tới các thông tin không phổ biến”.

Hơn nữa, người sử dụng đã được trao quyền truy cập tới nhiều tệp máy tính hơn là cần thiết để thực hiện các nhiệm vụ của họ và các hệ thống không được phổ biến đã không được thiết lập với những kiểm soát an ninh cần thiết, theo báo cáo.

Information security weaknesses continue to plague Los Alamos National Laboratory, according to the Government Accountability Office, which reported on Friday that the lab failed to allow only authorized users access to the network.

In its report last week, GAO identified numerous network vulnerabilities in several critical areas of the laboratory, which manages operations at nuclear facilities. Among the weaknesses were failures to identify and authenticate users, authorize user access, encrypt classified information, monitor compliance with security policies, or check that security settings are up to date.

The National Nuclear Security Administration oversees the laboratory, which is managed by Los Alamos National Security, a consortium of contractors. According to GAO, NNSA policy states that individuals must not share passwords except in emergency circumstances or when there is an overriding operational necessity, and passwords on sensitive systems should be changed at least every six months. The administration also requires the lab use two-factor authentication whenever possible. Two-factor authentication requires a user to provide two sets of identity such a username and password, and possibly a smart card or a fingerprint.

"[The lab] did not always manage passwords securely on the classified computer network," GAO investigators said. "As a result of this weakness, increased risk exists that insiders with malicious intent could guess the passwords of other individuals and use them to gain inappropriate access to classified information."

In addition, users were granted access to more computer files than needed to perform their duties and classified systems were not configured with necessary security controls, according to the report.

Dù phòng thí nghiệm đã làm được một số cải tiến về an ninh thông tin trong vài năm qua, báo cáo gần đây nhất nhấn mạnh “một số lượng về sự mất hiệu lực an ninh cấp độ cao”, GAO đã lưu ý. Vào tháng 10/2006, bằng chứng đã được đưa ra trong một cuộc điều tra có liên quan tới ma túy tại Los Alamos, N.M., đã phát hiện rằng các thông tin không phổ biến được lưu trên một ổ USB và một số tài liệu giấy đã bị loại bỏ một cách không phù hợp từ phòng thí nghiệm này. Sự việc còn tiếp tục, bao gồm khi phòng thí nghiệm này có thể không tính tới việc loại bỏ các phương tiện điện tử như các đĩa compact và các ổ cứng. Trong năm 2000, 2 vật trung gian có thể tháo rời được có chứa các thiết kế vũ khí hạt nhân được sử dụng bởi Bộ Năng lượng đã bị mật tạm thời, và trong năm 1999, một nhà khoa học đã chuyển những thông tin không được công bố từ các hệ thống máy tính của Los Alamos vào các đĩa không có nhãn mác, mà ông ta sau đó đã lấy đi từ phòng thí nghiệm.

NNSA thường đồng ý với các khuyến cáo của GAO, bao gồm cả những đánh giá rủi ro xác đáng cho các hệ thống được kết nối tới mạng máy tính không phổ biến và các chính sách mà chứa các chỉ dẫn cụ thể về cách để triển khai những yêu cầu an ninh của bộ và liên bang. GAO cũng đã khuyến cáo rằng phòng thí nghiệm triển khai một chính sách để đánh dấu mức độ không phổ biến của các thông tin trong các tài liệu và tệp được lưu trữ trong mạng các máy tính không phổ biến, và phát triển và duy trì một kho các tài liệu và tệp được lưu trữ trên mạng này.

Việc quét những chỗ có thể bị tổn thương phải được thực hiện để kiểm nghiệm an ninh cho tất cả các hệ thống được kết nối tới mạng máy tính không phổ biến, và quản trị an ninh phải được tập trung để tăng cường cho các chính sách của phòng thí nghiệm được dễ dàng hơn. Phòng thí nghiệm này cũng phải phát triển một kế hoạch mà nó chi tiết hóa cách mà những cải tiến về an ninh không gian mạng sẽ được duy trì và đầu tư.

Hơn nữa, GAO đã khuyến cáo NNSA xem xét lại những yêu cầu ngặt nghèo về an ninh không gian mạng của liên bang tại văn phòng Los Alamos để xác định liệu có cần nhiều người thêm nữa hay không.

Although the lab made some improvements to information security in the past couple of years, the latest report highlights "a number of high-profile security lapses," GAO noted. In October 2006, evidence obtained during a drug-related investigation in Los Alamos, N.M., revealed that classified information saved on a thumb drive and some paper documents had been improperly removed from the laboratory. The incident followed others, including when the lab could not account for the classified removal of electronic media such as compact discs and hard drives. In 2000, two pieces of removable media containing nuclear weapon designs used by the Energy Department were lost temporarily, and in 1999, a scientist transferred classified information from Los Alamos computer systems onto unmarked discs, which he then removed from the laboratory.

NNSA generally agreed with GAO's recommendations, including stricter risk assessments for systems connected to the classified computer network and policies that contain specific instructions on how to implement federal and departmental security requirements. GAO also recommended that that lab implement a policy to mark the classification level of information in documents and files stored on the classified computer network, and develop and maintain an inventory of all documents and files stored on the network.

Vulnerability scans should be conducted to test the security for all systems connected to the classified computer network, and security management should be centralized to make enforcement of laboratory policies easier. The lab also should develop a plan that details how cybersecurity improvements will be maintained and funded.

In addition, GAO recommended NNSA review federal cybersecurity staffing requirements at the Los Alamos office to determine if more personnel is needed.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com