เว็บไซต์จัดหางานของรัฐบาลUSAJobs.govได้ผ่านการทดสอบความปลอดภัยทางไซเบอร์โดยอิสระเป็นครั้งแรก นับตั้งแต่สำนักงานบริหารงานบุคคลถ่ายโอนระบบไปยังศูนย์ข้อมูลภายใน สำนักงานผู้ตรวจการทั่วไปของ OPM กล่าวในรายงานที่เผยแพร่เมื่อวันศุกร์“โดยรวมแล้วพบว่า USAJOBS อยู่ในสถานะการรักษาความปลอดภัยที่ดีและดูเหมือนจะไม่ก่อให้เกิดความเสี่ยงใดๆ ต่อ OPM หรือองค์ประกอบใดๆ” สำนักงานของIG เขียน
OPM เข้าควบคุมพอร์ทัลงานของรัฐบาลกลางจาก
Monster Government Solutions ในเดือนตุลาคม 2554 หลังจากการละเมิดความปลอดภัยสองครั้งใน 17 เดือนทำให้ข้อมูลของผู้หางานที่อยู่ในระบบถูกบุกรุก
สำนักงานของ IG ซึ่งทำงานร่วมกับ FishNet Security, Inc. ไม่พบปัญหาที่เป็นภัยคุกคามทันทีต่อเว็บไซต์ใหม่หรือข้อมูลผู้ใช้ในฐานข้อมูล แต่ผู้ตรวจสอบมีปัญหากับโครงสร้างพื้นฐานสนับสนุนของพอร์ทัล
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“ผู้ทดสอบพบว่าโดเมนที่โฮสต์ USAJOBS ถูกแชร์กับบริการ
และแอปพลิเคชันอื่นๆ ที่โฮสต์โดยศูนย์ข้อมูล Macon ของ OPM” รายงานระบุ “USAJOBS ถือเป็นระบบข้อมูลเรือธงของ OPM อย่างกว้างขวาง แอปพลิเคชันใดๆ ก็ตามที่มีขนาด การเปิดเผย และความสำคัญต่อสาธารณะของ USAJOBS ควรทำงานในสภาพแวดล้อมแบบหลายชั้นโดยเฉพาะ ดังนั้นการสร้างกลยุทธ์การป้องกันเชิงลึกสำหรับการปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของทรัพยากรและข้อมูลของระบบ”
นอกจากนี้ ผู้ตรวจสอบยังพบช่องโหว่ที่มีความรุนแรงสูงสามรายการ
ซึ่งเสี่ยงต่อความเสียหายที่อาจเกิดขึ้นกับข้อมูลและทรัพยากรของระบบ
“จากช่องโหว่ที่มีความรุนแรงสูงทั้งสามนี้ ช่องโหว่สองรายการจัดการกับปัญหาการตรวจสอบอินพุตที่ไม่เหมาะสม หนึ่งรายการบนเว็บไซต์หลัก USAJOBS และอีกรายการหนึ่งบนแอปพลิเคชันมือถือ iOS” ผู้ตรวจสอบบัญชีเขียน “ช่องโหว่ที่มีความรุนแรงสูงอื่นๆ ที่เกี่ยวข้องกับการเปลี่ยนเส้นทางตามพารามิเตอร์ที่อาจทำให้ผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย
แต่จุดอ่อนของระบบอาจไม่ใช่ปัญหาอีกต่อไป รายงานกล่าว เนื่องจากเจ้าหน้าที่ของ OPM Chief Information Officer ได้ “แก้ไขคำแนะนำการตรวจสอบเฉพาะหลายข้อที่ระบุไว้ในร่างรายงานแล้ว รวมถึงทั้งสามข้อที่เกี่ยวข้องกับช่องโหว่ที่มีความรุนแรงสูง
รายงานไม่ได้ให้ข้อมูลเฉพาะเจาะจงเกี่ยวกับคำแนะนำ เนื่องจากเป็นคำแนะนำที่ละเอียดอ่อน
เรื่องนี้เป็นส่วนหนึ่งของการอัปเดตความปลอดภัยทางไซเบอร์รายวันของ Federal News Radio สำหรับข่าวความ ปลอดภัยทางไซเบอร์เพิ่มเติมคลิกที่นี่
เรื่องราวที่เกี่ยวข้อง
Credit : รับจํานํารถ
