美報告：軍方導彈系統安全防護不足，漏洞未補，未加密傳輸及多因素驗證

最近一份美國國防部公佈的稽核報告顯示，高度敏感的軍方導彈飛彈系統資安防護不足，不但漏洞沒修補，連加密傳輸、入侵偵測及多因素驗證系統都沒有。

美國國防部總督察長室（Office of Inspector General）今年4月在國會要求下，調查國防部導彈飛彈防禦系統（ballistic missile defense system，BMDS）在機密網路（classified network）上的技術資訊是否實施適當的安全管控和流程，以防止內外部的網路威脅。這也是該處繼今年3月針對飛彈防禦署（Missile Defense Agency）外包商進行BMDS資訊的實體及系統存取控管稽核後的第二次檢查報告。

報告指出導彈系統的技術資訊的安全控管和流程有多項安全疏失。首先，機密資訊並沒有加密存在可移除儲存媒體上並加以監控，BMDS技術資料也未實施加密傳送。此外，BMDS伺服器機櫃沒上鎖、系統存取未導入多因素驗證，而且用戶要取得或提高系統存取權，也沒有要求行文申請。

稽核人員還發現，BMDS系統上有多個已知網路漏洞未修補、民間企業都很普遍的入侵偵側系統，機密網路也付之闕如。 而且BMDS的資訊設施連防止閒人勿近的實體安全控管也未嚴格執行。

報告指出，上述安全控管弱點之所以存在，是因為網管及資料中心相關人員未持續驗證已導入的安全控管的有效性，也未評估安全失格的影響。

因此本稽核報告要求BMDS管理員應儘速補正上述缺失，並建議DoD資訊長實施，包括處理、傳輸及儲存BMDS技術資訊的系統導入多因素驗證，除非獲得例外許可；定期修補網路漏洞、將機密資訊加密儲存於可移除式媒體、安裝入侵偵測系統；以及伺服器機櫃上鎖、加裝監視攝影機，並檢查實體安全措施的疏漏等。

這也不是美國軍方被人發現有點掉漆。今年7月MQ-9死神偵察機（MQ-9 Reaper）的軍事文件遭駭客在暗網上兜售，去年也有安全公司發現美國軍事衛星資料儲存在未加密，未設密碼的Amazon Web Service S3儲存服務上。