АҚШ тың киберқауіпсіздік агенттігі құпия кілттерін GitHub та ашық қалдырған

Gizmodo материалына сүйенген Aikyn.kz киберқауіпсіздікке жауап беретін мемлекеттік құрылымның құпия ақпараттарға осыншалық немқұрайлы қарау себебін түсіндіреді.

Krebs on Security жариялаған зерттеу бойынша Cybersecurity and Infrastructure Security Agency (CISA) бірнеше ай бойы бұлттық жүйелерге арналған құпия кілттерді GitHub платформасында ашық мәтін форматында сақтап келген. Ең таңғаларлығы – репозиторийдің атауы «Private-CISA» болған. Бірақ «жабық» деген атауға қарамастан, оның ішіндегі файлдар көпшілікке қолжетімді болып шыққан. Онда Amazon AWS GovCloud серверлерінің әкімшілік кілттері, логиндер, токендер және ондаған ішкі жүйелердің құпиясөздері сақталған. Кейбір құпиясөздер CSV файлында ешқандай шифрлаусыз, қарапайым мәтін күйінде тұрған.

GitGuardian компаниясының маманы Гийом Валадон бұл жағдайды: «Менің тәжірибемдегі ең қорқынышты ақпараттық ағып кету», – деп сипаттаған. Оның компаниясы GitHub-тағы құпия мәліметтердің таралуын бақылайды. Сондықтан бұл бағалау сарапшылар үшін өте маңызды сигнал болды.

CISA мәлімдемесінде: «Қазіргі уақытта бұл оқиға нәтижесінде қандай да бір құпия деректердің бұзылғаны туралы белгі жоқ», – делінген. Агенттік болашақта осындай жағдайдың алдын алу үшін қосымша қауіпсіздік шаралары енгізілетінін жариялаған. Алайда сарапшылар бұл түсініктеменің қоғамдағы сенім дағдарысын толық жоя алмайтынын айтуда.

Құпия сөздердің ашық ресурста қолжетімді болуы шамамен алты ай бойы байқалмай келген. Репозиторий өткен жылдың қарашасында құрылған. Бұған қоса, ақпараттардың бір бөлігін мемлекеттік мердігер Nightwing қызметкері жұмыс құрылғысынан үй компьютеріне материал көшіру үшін пайдаланған болуы ықтимал деген болжам айтылды.

Бұл жанжал саяси контексте де ерекше мәнге ие. CISA 2018 жылы президент Donald Trump қол қойған заң арқылы құрылған болатын. Алайда кейін Трамп агенттікпен бірнеше рет қақтығысып, 2020 жылғы сайлаудан кейін оның директорын қызметтен босатты. Қазіргі таңда агенттік ішінде кадрлық тұрақсыздық пен қаржыландыру қысқартуы да байқалады.

Сарапшылардың пікірінше, бұл оқиға мемлекеттік құрылымдардың киберқауіпсіздік талаптарын орындауда да осал екенін көрсетті. Әсіресе ЖИ, бұлттық технологиялар және мемлекеттік деректер дәуірінде бұндай қателіктер ұлттық қауіпсіздік мәселесіне айналуы мүмкін.

Біздің ойымызша, бұндай жағдай киберқауіпсіздікке жауап беретін кез келген мемлекеттік құрылымда кездесуі әбден мүмкін. Бұл жағдай – жеке қызметкердің қателігі емес, ішкі бақылау мен қауіпсіздік мәдениетінің әлсіздігі. Дәл осы оқиғада құпия кілттерді GitHub-қа жүктеуге жол бермеуі тиіс автоматты тексеру, аудит және жауапкершілік жүйесі дұрыс жұмыс істемеген. CISA сияқты орган үшін бұл – техникалық қате ғана емес, басқарушылық дағдарыстың белгісі.