Vyriausybės atskaitingumo biuro (GAO) dokumente sakoma, kad Pentagonas nežinojo, kaip lengvai priešininkai gali užsitikrinti prieigą prie ginkluotės sistemos „kompiuterinių smegenų“ ir programų bei nepastebimai jose veikti.
Institucija pažymėjo, kad daugiausiai saugumo spragų atveria prastas slaptažodžių valdymas ir nešifruoti ryšiai.
Tačiau biuras atkreipė dėmesį, kad elementų, per kuriuos galima įsibrauti į sistemas, skaičius tebedidėja, kad kad juos ne visada gerai išmano patys operatoriai, todėl netgi prie interneto neprijungtos sistemos yra labai pažeidžiamos.
Dar griežtesnė ataskaitos išvada – kad JAV kariuomenė kibernetinio saugumo neįtraukia į ginkluotės, priklausomos nuo kompiuterių, projektavimo ir įsigijimų procesą. Atskaitingumo biuras pripažino, kad ginklus kuriančios įmonės pačios dažnai nepakankamai supranta kibernetinio saugumo problemas.
„Dėl šio nepakankamo dėmesio ginkluotės sistemų kibernetiniam saugumui Gynybos departamentas tikriausiai turi ištisą sistemų kartą, suprojektuotą ir pagamintą tinkamai neatsižvelgus į kibernetinio saugumo reikalavimus“, – pabrėžė GAO.
„Vienu atveju bandomajai dviejų žmonių komandai pakako valandos gauti pirminę prieigą prie vienos ginkluotės sistemos – ir vienos dienos perimti visišką sistemos, su kuria jie atliko bandymą, valdymą“, – pridūrė biuras.
Kitu atveju bandytojai sugebėjo perimti sistemos operatorių terminalų valdymą.
„Jie realiu laiku galėjo stebėti, ką operatoriai mato savo ekranuose, ir galėjo manipuliuoti sistema“, – rašoma ataskaitoje.
Viešai prieinamoje neįslaptintoje šios ataskaitos versijoje sistemos, su kuriomis buvo atliekami tokie bandymai ir kuriose buvo rasta saugumo spragų, nėra įvardytos. GAO pažymėjo, jog tokia informacija neskelbiama dėl slaptumo reikalavimų.
Tačiau biuras nurodė, kad 2012–2017 metais paties Gynybos departamento bandytojai „reguliariai“ aptikdavo pavojingų kibernetinių spragų „beveik visose“ šiuo metu kuriamose ginkluotės sistemose.
„Naudodamiesi gana paprastais įrankiais ir priemonėmis bandytojai sugebėdavo perimti šių sistemų valdymą ir dažniausiai veikti nepastebimai. Kai kuriais atvejais sistemų operatoriai nesugebėdavo veiksmingai atsakyti į įsilaužimus“, – sakoma ataskaitoje.
Ši grėsmė nuolat didėja, nes vis daugiau Pentagono naudojamų ginkluotės ir kitų sistemų yra sujungiamos tarpusavyje, taip pat auga jų priklausomybė nuo programinės įrangos ir tinklų technologijų.
Ši ataskaita buvo paskelbta JAV vyriausybei siekiant atremti, anot jos, Rusijos ir Kinijos vyriausybių remiamų kompiuterių įsilaužėlių koordinuotas pastangas prasiskverbti į valstybės institucijų ir privačiojo sektoriaus kompiuterių tinklus, siekiant pavogti duomenų arba tiesiog sukelti sumaištį.