.
O número de incidentes de segurança cibernética relatados pelas agências federais dos EUA aumentou 9,9% ano a ano (YoY) em 2023, para um total de 32.211, de acordo com um novo relatório da Casa Branca, que também divulgou detalhes sobre os incidentes mais graves sofridos em todo o governo .
Do número total de incidentes, a maioria (38%) foi classificada como “uso impróprio”, o que significa que um sistema foi usado de uma forma que violou as políticas de uso aceitável da agência. O relatório afirmou que as agências têm a capacidade de detectar quando as políticas de segurança estão a ser violadas, mas não a capacidade de impedir que isso realmente aconteça.
O próximo incidente mais comum foi causado, sem surpresa, por phishing e e-mails maliciosos, e foi o vetor que teve o maior aumento anual (por número de incidentes) de 3.011 em 2022 para 6.198 em 2023.
5.687 incidentes não puderam ser categorizados por nenhum vetor específico, então foram ambiguamente agrupados em “outros/desconhecidos”. Os ataques baseados na Web aumentaram pouco em relação ao ano anterior, com 3.569 casos, ao contrário dos incidentes de equipamento que deu errado – seja por descuido ou roubo real.
O relatório [PDF] não divide o total em perda ou roubo, o que teria sido interessante, mas o número de casos anuais aumentou de 1.832 para 3.135 em 2023.
Os ataques de força bruta a redes e serviços foram o único outro vector a registar mais de 1.000 casos (1.147) – mas cobraram o preço pelo maior aumento percentual anual em incidentes, acima dos apenas 197 do ano anterior.
Mas, apesar do aumento anual de ataques, nenhum foi registado acima de “médio” no Sistema Nacional de Pontuação de Incidentes Cibernéticos (NCIS), que funciona como o CVSS para vulnerabilidades individuais e classifica os incidentes de acordo com o impacto que provavelmente terão nos aspectos. da sociedade, como a segurança nacional e económica, a prestação de serviços públicos e as relações externas.
A grande maioria (31.621) enquadra-se na categoria de base, o que significa “altamente improvável” de afectar a sociedade. Apenas 348 caíram em incidentes “baixos” – “improváveis” de afectar a sociedade, enquanto 31 foram classificados como “médios” – incidentes que “podem afectar” a sociedade. 229 casos não incluíram informações suficientes para categorizá-los.
Os casos mais suculentos
Separadamente da classificação do impacto dos incidentes nos EUA estão os “incidentes graves”, dos quais foram relatados 11 em agências federais em 2023 e vários relatórios dos departamentos de Saúde e Serviços Humanos, Justiça e Tesouro.
De acordo com M-23-03, um incidente grave é definido como tal se atender a uma das duas descrições, retiradas literalmente do memorando [PDF]:
-
Qualquer incidente que possa resultar em danos demonstráveis aos interesses de segurança nacional, às relações exteriores ou à economia dos Estados Unidos, ou à confiança pública, às liberdades civis ou à saúde e segurança públicas do povo americano
-
Uma violação que envolva informações de identificação pessoal (PII) que, se exfiltradas, modificadas, excluídas ou comprometidas de outra forma, provavelmente resultará em danos demonstráveis aos interesses de segurança nacional, às relações externas ou à economia dos Estados Unidos, ou aos confiança pública, liberdades civis ou saúde e segurança públicas do povo americano
HHS
Dois dos 11 incidentes principais em 2023 vieram do Departamento de Saúde e Serviços Humanos (HHS). O primeiro foi descrito no relatório como um ataque de ransomware a um sistema pertencente e operado por um contratante que apoia os Centros de Serviços Medicare e Medicaid do departamento.
O ataque visou especificamente partilhas de ficheiros em rede e levou à exposição de dados pessoais relativos a 2,8 milhões de pessoas, cerca de metade das quais já faleceram na altura. Nomes, endereços, datas de nascimento, identificadores do Medicare e dados bancários estavam envolvidos.
A princípio, parecia que poderia ter sido o incidente do MOVEit na Maximus, que cuida dos serviços administrativos do Medicare e do Medicaid, mas esse caso afetou de 8 a 11 milhões de pessoas, em vez de apenas 2,8 milhões, e na verdade não envolveu a implantação de ransomware.
O outro grande incidente do HHS foi novamente culpa dos empreiteiros, dois deles que foram alvo de atacantes que utilizaram um dia zero para obter acesso a sistemas que alojam dados pessoais. Acredita-se que os dados de 1,88 milhões de pessoas possam ter sido comprometidos, incluindo todos os tipos de dados habituais, bem como, em alguns casos, números de segurança social e diagnósticos médicos.
Tesouraria
O Departamento do Tesouro também registou dois incidentes importantes em 2023, e o primeiro pode ser considerado dois incidentes separados, uma vez que envolveu a divulgação do mesmo conjunto de dados duas vezes.
Anunciado pelo Internal Revenue Service (IRS) em setembro de 2022, o incidente viu formulários 990-T, contendo nomes, endereços, endereços de e-mail e números de telefone, disponibilizados para download pelo público.
Um erro de codificação tornou isso possível e, embora os dados tenham sido prontamente excluídos do servidor web público, o fornecedor responsável não excluiu os dados de um servidor temporário, que inadvertidamente os viu publicados uma segunda vez.
O segundo incidente envolveu um funcionário do Gabinete do Inspetor Geral (OIG) do departamento que entregou involuntariamente suas credenciais de login após ser vítima de phishing por um invasor patrocinado por um estado estrangeiro, país retido.
A conta deles foi controlada por cerca de 15 horas e poderia ter acessado todos os tipos de arquivos, mas eles foram inicializados antes que qualquer movimento lateral ou malware pudesse ser introduzido na equação.
Justiça
O Departamento de Justiça foi alvo de dois ataques de ransomware bem-sucedidos no ano fiscal de 2023, o primeiro dos quais teve como alvo um computador do United States Marshals Service (USMS) e expôs os dados pessoais do pessoal do USMS, mas por outro lado teve impacto limitado dada a resposta rápida.
Não foram oferecidos muitos detalhes sobre o segundo caso, que atingiu um fornecedor que fornecia suporte de análise de dados para os casos. Isso levou ao comprometimento de dados pessoais e médicos, e a todos os afetados foram oferecidos os serviços de monitoramento de crédito necessários.
Interior
Houve apenas um caso importante no Departamento do Interior e foi um acidente total. O relatório conta a história de um desenvolvedor autorizado que modificou uma política de segurança de um sistema de folha de pagamento que permitiu erroneamente que o pessoal de RH visualizasse os registros de 36 clientes de agências federais.
Pensa-se que os dados pessoais de cerca de 147.000 pessoas foram potencialmente expostos como resultado, e o Interior Business Center, que operava o sistema afetado, também não conseguiu realizar uma avaliação de impacto na privacidade após as mudanças de arquitetura que levaram ao incidente. Posteriormente, fortaleceu os processos internos e o treinamento.
Gabinete de proteção financeira do consumidor
Um ex-funcionário desonesto foi o culpado pela violação no CFPB depois de enviar 14 e-mails e duas planilhas repletas de dados pessoais pertencentes a cerca de 256 mil consumidores vinculados a uma única instituição financeira.
O CFPB exigiu que o trabalhador travesso apagasse os e-mails e apresentasse provas dessa exclusão – exigências que foram ignoradas. A avaliação oficial foi que os dados incluídos nesses e-mails não poderiam ser usados para acessar a conta de uma pessoa ou realizar roubo de identidade, mas alguns indivíduos afetados foram notificados de qualquer maneira.
Transporte
Cerca de 237 mil pessoas foram potencialmente afetadas após a violação de vários sistemas de administração e o roubo de dados pessoais do Sistema de Benefícios de Estacionamento e Trânsito (PTBS), que apoia a iniciativa TRANServe.
Os invasores obtiveram acesso explorando uma vulnerabilidade crítica não corrigida em um ambiente não identificado.
“plataforma comercial de desenvolvimento de aplicativos da web” e levantou detalhes como nomes, endereços residenciais e comerciais e os últimos quatro dígitos dos números de previdência social.
Escritório de Gestão de Pessoal
Embora MOVEit não seja explicitamente nomeado aqui, Cl0p foi quase certamente responsável pelo único grande incidente do OPM no EF23. Um contratado de OPM estava usando o MOVEit MFT para apoiar o administrador por trás da Pesquisa de Ponto de Vista dos Funcionários Federais. O que se seguiu foi o acesso não autorizado a dados pertencentes a cerca de 632 mil funcionários dos departamentos de Justiça e Defesa.
Energia
Novamente, este foi quase certamente outro incidente relacionado ao MOVEit que afetou a Planta Piloto de Isolamento de Resíduos do Departamento de Energia e as Universidades Associadas de Oak Ridge. 34.000 ex-funcionários do Departamento de Energia, abrangidos por um programa de apoio a pessoas que possam ter sido expostas a substâncias perigosas como resíduos nucleares, tiveram os seus dados pessoais e de saúde expostos.
Cerca de 66.000 indivíduos do Office of Science também foram afetados, com nomes, datas de nascimento, SSNs totais ou parciais, detalhes de passaporte e nacionalidades comprometidos. ®
.
