Federal Aviation Administration belum diimplementasikan diperlukan kontrol keamanan untuk memastikan sistem Civil Aviation Registry tidak dapat dilanggar.
"Kami menemukan beberapa kelemahan dengan server Registry, termasuk sistem operasi usang dan tidak ada pemantauan rutin atas akses data sensitif. FAA juga tidak sesuai dengan kebijakan DOT menyerukan PII enkripsi dan kontrol akses akun, "membaca sebuah laporan yang dibuat oleh Kantor Inspektur Jenderal Departemen Perhubungan.
"Akhirnya, FAA tidak memiliki perjanjian di tempat dengan pihak eksternal yang menerima informasi registri untuk melindungi PII untuk mencegah akses yang tidak sah, seperti yang dipersyaratkan oleh Federal Information Security Management Act (FISMA)."
Laporan ini menyoroti bahwa setidaknya satu kerentanan berisiko tinggi atau kritis yang dapat dimanfaatkan untuk akses yang tidak sah ada di 70% dari server komputer yang mendukung Registry.
Selain itu, patch perangkat lunak tidak dipasang sejak 2007 pada tujuh server. Dua mesin yang ditemukan untuk menjalankan sistem operasi yang ketinggalan jaman.
FAA juga gagal untuk memantau akses ke data Registry Penerbangan Sipil sensitif.
Kantor Inspektur Jenderal telah menemukan bahwa sejumlah kontrol keamanan yang hilang.
Pertama-tama, informasi sensitif disampaikan oleh pemilik untuk pendaftaran pesawat udara tidak dienkripsi, yang membuatnya lebih mudah bagi pihak ketiga berbahaya untuk mengakses atau mencurinya.
Selanjutnya, account pengguna aktif belum diidentifikasi dan dihapus.
"Sebelum waktunya menonaktifkan dan penghapusan akun dapat menyebabkan akses tidak sah ke informasi dan sistem oleh individu yang tidak lagi berwenang. Selain itu, FAA memiliki kebijakan dan praktek untuk membuat dan mengelola account pengguna yang tidak memadai, "ungkap laporan tersebut.
Akhirnya, laporan ini menyoroti fakta bahwa otentikasi identitas multifaktor tidak digunakan untuk mengakses informasi Registry.
0komentar:
Post a Comment