Theo Motherboard, đánh giá của Tổng thanh tra Lầu Năm Góc (IG) cho thấy hàng rào bảo mật của Bộ quốc phòng Mỹ đang ở tình trạng "khủng khiếp". Báo cáo là bản tóm tắt các cuộc điều tra của IG năm 2018 về khả năng của quân đội trước các cuộc tấn công mạng nhắm vào Lầu Năm Góc, nơi đặt trụ sở Bộ quốc phòng Mỹ.
Các số liệu đáng chú ý như đã có 266 khuyến nghị liên quan tới an ninh mạng, từ năm 2008 tới tháng 8/2018. Trước đây, IG đưa ra 159 bước khác nhau để cải thiện an ninh cho Lầu Năm Góc nhưng chỉ 19 trong số đó được thực hiện.
Các vấn đề an ninh mạng xuất hiện và ảnh hưởng đến tất cả các lĩnh vực trong quân đội, từ mức độ nhẹ tới nghiêm trọng. Tại một mạng lưới máy chủ được kết nối với hệ thống phòng thủ tên lửa đạn đạo của Mỹ, các thanh tra viên tìm thấy một tủ chứa máy chủ đã được mở khóa dù có dấu hiệu ghi ở trên yêu cầu cửa tủ phải luôn bị khóa. Theo người phụ trách an ninh mạng, nhân viên vận hành trong một lần khắc phục sự cố đã mở khóa và không thông báo cho quản lý bảo mật sau khi hoàn thành công việc để anh ta khóa tủ lại.
Cũng trên mạng lưới này, thanh tra phát hiện dữ liệu không được mã hóa khi chuyển từ máy tính qua thẻ nhớ USB và ổ cứng di động. Lượng thông tin được mã hóa ít hơn 1%. Nhiều thông tin chưa được kiểm soát đang lưu trữ trên các thiết bị lưu động.
Những lỗ hổng an ninh tương tự cũng diễn ra tại bộ phận vận hành hệ thống phòng thủ tên lửa. Các đơn vị này chịu trách nhiệm theo dõi bầu trời và bảo vệ các thành phố của Mỹ trong trường hợp bị tấn công hạt nhân từ nước ngoài.
Không chỉ phía quân đội, các điều tra viên đã ghi nhận tình trạng bảo mật kém ở các nhà thầu quân sự. Bảy nhà thầu làm việc cho Cơ quan phòng thủ tên lửa Mỹ tồn tại rất nhiều lỗ hổng. Năm công ty trong số này không thường xuyên sử dụng việc xác thực đa yếu tố để truy cập mạng. Đồng thời, họ cũng không phân loại các nội dung có chứa thông tin kỹ thuật liên quan tới hệ thống phòng thủ tên lửa đạn đạo. Các nhà thầu cũng không có hệ thống tự đánh giá rủi ro bảo mật của bản thân, không mã hóa ổ USB và ổ cứng, sử dụng mật khẩu yếu.
Ngoài ra, các quản trị viên phụ trách bảo mật liên quan tới Lầu Năm Góc của nhà thầu đã không cài đặt cấu hình mạng và hệ thống chứa thông tin kỹ thuật để khóa các phiên làm việc của người dùng sau 15 phút không hoạt động. Có nghĩa, bất cứ ai đăng nhập vào máy tính chứa dữ liệu phòng thủ tên lửa cũng có thể thao tác để khiến người khác không thể truy cập vào hệ thống. Cụ thể hơn, các máy tính này không bao giờ tự đăng xuất.
Lầu Năm Góc, trụ sở của Bộ quốc phòng và biểu tượng của quân đội Mỹ. Ảnh: Motherboard
Báo cáo cũng cho biết, các hệ thống vũ khí của Mỹ rất dễ bị hack bằng những công cụ cơ bản. Tháng 10/2018, một báo cáo từ Văn phòng trách nhiệm Chính phủ Mỹ đã chỉ ra những lỗ hổng trong hệ thống vũ khí của Lầu Năm Góc, khiến chúng đặc biệt dễ bị tấn công mạng. Cụ thể, an ninh mạng không được tích hợp vào các hệ thống vũ khí trong quá trình thiết kế. Thay vào đó, chúng được giải quyết thông qua một tập hợp các hoạt động và sản phẩm chưa hoàn thiện, tạo ra sự chồng chéo và các lỗ hổng bảo mật. Không quân Mỹ thậm chí không thay đổi mật khẩu mặc định trên nhiều hệ thống vũ khí khi chúng được mua về, cũng như không tuân theo các giao thức an ninh mạng của riêng mình khi thiết kế và ra mắt hệ thống vũ khí mới.
IG cũng chỉ ra quy trình bảo mật lỏng lẻo tại các cơ sở điều trị y tế của Quân đội, khiến tin tặc có thể dễ dàng truy cập hồ sơ của bệnh nhân. Theo quy định, mật khẩu phải dài 15 ký tự, chứa chữ hoa và chữ thường, số và ký hiệu. Tại nhiều cơ sở y tế, các quản trị viên đã bẻ cong các quy tắc để cho phép cài đặt mật khẩu đơn giản hơn. Khi được hỏi, nhiều người nói họ tin các phương pháp xác thực mạng hiện có cung cấp đủ khả năng kiểm soát quyền truy cập vào các hệ thống riêng lẻ.
Theo cơ quan giám sát Lầu Năm Góc, các lỗ hổng về an ninh mạng nói trên thuộc về vấn đề lãnh đạo, vì không một ai ở phía trên quản lý để buộc những người khác chịu trách nhiệm. Hiện chưa có ai đứng ra nhận trách nhiệm về kết quả thanh tra của IG.