Kyberhyökkäyksiä tapahtuu joka päivä, mutta jotkut niistä ovat erityisen kylmääviä. Tänä kesänä Yhdysvaltain oikeusjärjestelmää vastaan tehdyn hyökkäyksen olisi pitänyt lähettää kylmiä väreitä jokaista selkäpiitä pitkin.
Viranomaiset 7. elokuuta vahvistettu hyökkäys Yhdysvaltojen liittovaltion oikeuslaitosta vastaan. Hyökkääjät kohdistivat hyökkäyksensä erityisesti sen tuomioistuinten arkistointijärjestelmään, Case Management/Electronic Case Files (CM/ECF), joka tunnetaan myös julkisella käyttöliittymällään PACER. New York Timesin mukaan hyökkäys, joka tapahtui kesäkuun lopun ja heinäkuun alun välisenä aikana tänä vuonna, liittyi todennäköisesti Venäjän valtion toimijoihin.
Seuraukset ovat merkittäviä. Vaikka monet CM/ECF:n tapaustiedostot ovat julkisesti saatavilla PACERin kautta, monet muut ovat salassa pidettyjä, koska ne sisältävät arkaluonteisia tietoja. Hyökkääjät näyttivät etsineen Venäjän kansalaisiin liittyviä tapauksia.
Tapaus sekoitti tuomioistuimet, ja ne joutuivat palaamaan paperisiin arkistointijärjestelmiin. Ainakin yksi tuomari jopa kielsi sinetöityjen asiakirjojen lataamisen PACER-järjestelmään. Arkaluonteiset tapaukset jouduttiin siirtämään erillisiin järjestelmiin.
Vielä huolestuttavampaa on väite, että meksikolaiset huumekartellit saattaa olla pääsy osa näistä arkaluonteisista tiedoista, mikä saattaa paljastaa todistajat heidän rikoksilleen. Kartelleihin liittyvää jengirikollisuutta käsitellään usein käräjäoikeudessa, mikä tarkoittaa, että arkaluonteiset tapaustiedostot sijaitsevat CM/ECF:ssä.
Pahinta tässä on se, että syynä on hajautetun toteutuksen ja vanhan, perinteisen koodin sekoitus.
CM/ECF juontaa juurensa 1990-luvun lopulle, jolloin Ohion pohjoinen piirikunta rakensi sen hallitakseen lukuisia asbestitapausten löydöksiä. Sitten muut tuomioistuimet alkoivat ottaa sitä käyttöön 2000-luvun alussa, kun valtakunnallisen käyttöönoton myötä konkurssi-, käräjä- ja muutoksenhakutuomioistuimet ottivat sen myös käyttöön. Vuoteen 2007 mennessä käyttöönotto oli enimmäkseen yleismaailmallista, mutta hallinta oli palasia; jokainen tuomioistuin hoiti oman ohjelmistonsa käyttöönoton. Joten kun Yhdysvaltain tuomioistuinten hallintovirasto julkaisi 2010-luvulla merkittävän NexGen-nimisen tarkistuksen, kaikki eivät olleet ajan tasalla.
In 2021 raportti Järjestelmästä hallintoviraston henkilökunta valitti, että yli 50 tuomioistuinta ei ollut siirtynyt uuteen järjestelmään. Raportissa valitettiin vanhentunutta perusteknologiaa. ”Hajauttaminen ja monimutkaisuus aiheuttavat järjestelmän epävakautta, korkeita ylläpitokustannuksia ja turvallisuusriskejä”, siinä varoitettiin. ”Nykyiset sopimukset vaikeuttavat urakoitsijoiden pitämistä vastuullisina laatustandardeista.”
Ongelma on jatkunut, ja seuraukset ovat olleet katastrofaalisia. Myös oikeuslaitos raportoitu vuonna 2021 tapahtunut tietomurto, johon myöhemmin paljastui osallistuneen kolme ulkomaista toimijaa.
Vanhojen ohjelmistojen ongelma
Tämä vanhan ohjelmiston ongelma rehottaa. tutkimus Tänä vuonna vanhojen järjestelmien migraatio-ohjelmistoyritys Saritasan tekemä tutkimus paljasti, että 62 % sen 500 vastaajasta luotti edelleen vanhoihin järjestelmiin. IT:n on aina kilpailtava muiden osastojen kanssa osasta budjetista. Kun teknologiaasiantuntijat saavat sen, heidän on oltava varovaisia tasapainottamaan teknisen velan maksamisen ja uusien ohjelmisto- ja laitteistoparannusten tekemisen, jotka miellyttävät liiketoiminnan sponsoreita. Jokainen vanhojen järjestelmien korjaamiseen käytetty dollari on otettava yrityksen kukkarosta.
Hajautettu IT-hallinta luo myös sokeita pisteitä, erityisesti vanhoihin ohjelmistoihin liittyen. Se jättää monet ohjelmistotuotteet vaille korjauspäivityksiä. Se myös vaikeuttaa IT-infrastruktuurissa käynnissä olevien toimintojen ymmärtämistä ja niiden kytkemistä tietoturvakäytäntöihin. Tuloksena on varjo-IT, joka tuo mukanaan lisää riskejä.
Liittovaltion tuomioistuinjärjestelmä ei ole ainoa, jossa esiintyy joitakin näistä ongelmista. Vuonna 2019 Government Accountablity Office (GAO) julkaisi raportin, jossa korostettiin Yhdysvaltain hallituksen jatkuvaa huomion puutetta vanhoille järjestelmille. Isossa-Britanniassa hallitus luokittelee 28 % sen IT-infrastruktuurista on vanhaa infrastruktuuria, ja joillakin alueilla osuus nousee 70 %:iin.
Perintöpedon kesyttäminen
On olemassa tapoja ottaa IT-infrastruktuuri takaisin hallintaan ja ainakin ymmärtää vanhojen arkkitehtuurien riskit, vaikka et pystyisikään kokonaan poistamaan niitä. Tässä kohtaa tietoturvallisuuden hallintajärjestelmä (ISMS), kuten ISO 27001, on hyödyllinen.
ISO 27001:2022 -standardin liite A, kontrolli 5.9, käsittelee tietoresurssien hallintaa varmistaen, että organisaatio dokumentoi asianmukaisesti, kuka on vastuussa kustakin resurssista organisaatiossa, ja hahmottelee siihen liittyvät riskit. Se edellyttää resurssien inventaarion laatimista tämän tavoitteen tukemiseksi ja luo alustan, jonka avulla yritykset voivat järjestää toimintansa sen ympärille. Voit esimerkiksi dokumentoida mihin tahansa resurssiin liittyvät nykyiset korjaustasot.
Tämä omaisuusluettelo on erinomainen perusta teknisen velan lyhennysohjelman käynnistämiselle. Järjestelmien priorisointi korjattavaksi, päivitettäväksi tai vaihdettavaksi niiden riskitekijän perusteella antaa resurssirajoitteisille tiimeille selkeän toimintasuunnitelman. Voit myös käyttää sitä luodaksesi hallintorakenteita niiden alustojen ympärille, jotka eivät ole asiakaslähtöisiä, mutta joilla on arvokasta ja matalan profiilin tietoa. Juuri nämä huonosti suojatut kruununjalokivet ovat niitä resursseja, joita hyökkääjät jahtaavat.
Sitten on keskustelu migraatiosta, jossa hahmotellaan, miten siirrytään vanhasta järjestelmästä uuteen. Tämä vaatii huolellista harkintaa, jossa otetaan huomioon järjestelmän riippuvuudet. Yksi vaihtoehto on refaktorointi (jonkin koodin uusiminen olemassa olevassa järjestelmässä), samoin kuin korvaaminen (järjestelmän täydellinen purkaminen ja aloittaminen alusta). Jälkimmäinen vaihtoehto luo enemmän mahdollisuuksia siirtyä ongelmallisista arkkitehtuureista, kuten monoliittisista järjestelmistä, modulaarisempaan, mikropalveluihin perustuvaan koodiin.
Muita toimenpiteitä perintöriskien hallitsemiseksi ovat säännöllisten uhkamallinnusharjoitusten suorittaminen, joilla tutkitaan näkymätöntä perintöinfrastruktuuria, jota kukaan ei koskaan tarkastele, kuten sisäisiä portaaleja tai sopimusalustoja.
Vanhan arkkitehtuurin kuntoon saamista ei kannata lykätä huomiseen. Se on hyvin samanlaista kuin fyysinen terveys. Jokainen vitkutteluun käytetty päivä voi aiheuttaa ongelmia tulevaisuudessa. Pienikin ponnistus nyt – jopa pieni säännöllinen kuukausittainen ponnistus modernisoimiseksi – voi estää katastrofin tulevaisuudessa. Kysy vaikka keneltä tahansa käräjätuomarilta.
