Проблемы с кибербезопасностью преследуют Министерство финансов США, углубляя раскол между ведомством, ответственным за защиту целостности финансовой системы, и банками, деятельность которых оно регулирует.
За последние пять лет Казначейство столкнулось с тремя крупными взломами, в том числе с двумя, о которых стало известно в декабре. Между тем, ряды лидеров в области кибербезопасности в этом году сократились из-за ухода Илона Маска из Департамента эффективности государственного управления, который самый богатый человек в мире покинул в мае.
Анализ Bloomberg News ранее не публиковавшихся правительственных документов и интервью с более чем десятком человек, включая нынешних и бывших сотрудников Казначейства, руководителей банков и экспертов по кибербезопасности, выявил новые подробности взломов, которые подчёркивают опасения по поводу киберзащиты ведомства, имевшие место много лет назад. Как показывает расследование Bloomberg, во всех трёх случаях ведомство не приняло меры безопасности, которые могли бы предотвратить нарушения или своевременно выявить злоумышленников.
Например, в апреле управление валютного контролера Казначейства, которое регулирует деятельность национальных банков, сообщило, что хакеры проникли в его электронную почту, начиная с мая 2023 года. Чтобы войти в систему и просмотреть данные, хакеры использовали коммерчески доступное программное обеспечение для виртуальной частной сети, которое должно было вызвать внутреннюю тревогу, по словам людей, знакомых с этим вопросом, которые, как и другие опрошенные для этой статьи, попросили не называть их имен для обсуждения конфиденциальной информации.
В результате взлома, о котором Министерство финансов сообщило в прошлом году, предполагаемые китайские шпионы взломали компьютеры тогдашнего госсекретаря Джанет Йеллен и других высокопоставленных руководителей с конца сентября по середину ноября, говорится в документе Министерства финансов. Они проникли внутрь, взломав программное обеспечение безопасности, используемое службой поддержки департамента для удаленного доступа к компьютерам сотрудников. По словам двух человек, хакеры использовали эту возможность для взлома ноутбуков и настольных компьютеров в обычные дневные рабочие часы в Китае, но системы наблюдения Казначейства не были откалиброваны для поиска необычных схем входа в систему, исходящих от этого программного обеспечения безопасности в нерабочее время в США.
Согласно документам министерства, в ходе третьей кибератаки, которая была обнаружена в декабре 2020 года и началась ранее в том же году, предполагаемые российские хакеры следили за электронной почтой небольшой группы сотрудников Казначейства. Глава группы реагирования на кибератаки Министерства финансов сообщил следователям, что атаку можно было бы остановить раньше, если бы не простая оплошность: согласно документам, в его команде не было никого, кто проверял бы данные, собранные в компьютерных системах министерства, на предмет подозрительной активности.
Полученные результаты вызывают вопросы о способности министерства защищать конфиденциальные финансовые данные и о том, как оно расходует годовой бюджет на кибербезопасность в размере более 1 миллиарда долларов. Учитывая множество функций Министерства финансов в области национальной безопасности и фискальной политики, включая обеспечение соблюдения санкций, расследование случаев отмывания денег и помощь в пресечении финансирования терроризма, Министерство финансов является постоянной мишенью для иностранных разведывательных служб. Уязвимости Казначейства встревожили финансовый сектор, который обязан предоставлять конфиденциальную финансовую информацию и информацию о безопасности в департамент, который все чаще рассматривается как слабое звено в усилиях по защите от киберпреступников и шпионов.
Министерство финансов не ответило напрямую на конкретные вопросы об атаках. Пресс-секретарь заявил, что департамент улучшил кибербезопасность с тех пор, как президент, Дональд Трамп, вступил в должность на свой второй срок.
«Узнав о нарушениях кибербезопасности, произошедших при администрации Байдена, Министерство финансов продолжило совершенствовать методы обеспечения кибербезопасности», — заявил представитель. «Под новым руководством Министерство финансов консолидирует ИТ-сервисы, минимизирует доступ персонала и упрощает системы, чтобы сократить поверхность атаки и, следовательно, уязвимости. Более компактный технологический стек означает меньшую поверхность атаки и более надежную защиту данных. Президент Трамп и его администрация продолжат поддерживать усилия по модернизации для укрепления нашей кибербезопасности». (В двух последних взломах хакеры взломали сети Министерства финансов при администрации Байдена; первый произошел во время первого срока Трампа).
Бывший сотрудник администрации Байдена заявил, что указы демократа подталкивали федеральные агентства и поставщиков программного обеспечения к улучшению кибербезопасности. Поставщики программного обеспечения также должны были предоставлять доказательства выполнения этих требований, но администрация Трампа отменила это положение, сообщил чиновник.
Представитель банковского регулятора, OCC (Управление контролера денежного обращения), заявил, что агентство «внедряет меры безопасности и конфиденциальности в соответствии с федеральными и отраслевыми стандартами» и продолжает расследование недавней утечки.
«OCC начал тщательную оценку своих текущих политик и процедур IT-безопасности, чтобы улучшить способность предотвращать, выявлять и устранять потенциальные угрозы безопасности», — сообщил представитель.
Расследование Bloomberg также выявило неоднократные сигналы тревоги в федеральном правительстве о киберуязвимостях ведомства. Например, согласно документам Министерства финансов, одно внутреннее расследование показало, что некоторые руководители OCC подрывали усилия службы безопасности по обучению персонала противодействию фишинговым атакам.
Раскрытие атаки на OCC в апреле поставило финансовый сектор на критическое положение. В ходе этой утечки хакеры более года шпионили за более чем 100 учетными записями электронной почты, получив доступ к конфиденциальной информации о финансовых компаниях, регулируемых федеральным правительством. Некоторые из крупнейших банков Америки, включая JPMorgan Chase and Co. и Bank of New York Mellon Corp., отреагировали на это чрезвычайным шагом, приостановив электронный обмен обязательной информацией с OCC, включая конфиденциальные данные, такие как результаты аудитов кибербезопасности и оценки уязвимостей. С тех пор обмен возобновился.
В июне торговые группы, представляющие значительную часть финансового сектора, включая Американскую банковскую ассоциацию, направили письмо министру финансов Скотту Бессенту, в котором выразили обеспокоенность «практикой управления рисками кибербезопасности в федеральных регулирующих органах и необходимостью критически важных реформ, чтобы гарантировать, что процесс надзора не создаст ненужного риска для компаний из-за недостатков собственной системы безопасности регулирующих органов».
«Поскольку компании обязаны предоставлять регулирующим органам закрытую, конфиденциальную информацию в рамках надзорного процесса, взломы регулирующих органов могут раскрыть уязвимости и бизнес-информацию учреждений злоумышленникам, поставив их в стратегически невыгодное положение», — говорится в письме.
Генри Сенкевич, бывший директор по информационным технологиям Агентства оборонных информационных систем, курирующего IT-сети Вооружённых сил США, заявил: «В мире, где финансовые преступления действительно являются растущей отраслью, тот факт, что регулируемые организации не могут доверять регулирующим органам, просто ужасает».
Финансовые отраслевые группы используют последние проблемы Министерства финансов США в сфере безопасности, чтобы добиться изменений в действующих правилах с целью сокращения объёма данных о цифровой защите и операциях банков, которые министерство обязывает их предоставлять. Они считают, что сейчас самое подходящее время для этого, поскольку Трамп пообещал проводить дерегулирование, а чиновники его администрации уже начали смягчать правила для финансового сектора.
Компьютерная сеть Министерства финансов охватывает 800 физических объектов, включая 50 центров обработки данных, и включает в себя более 200 000 настольных компьютеров, ноутбуков и мобильных устройств, по словам Эрика Олсона, который занимал должность директора департамента по информационным технологиям с 2017 по 2021 год. Управление кибербезопасностью Казначейства осуществляется с помощью комбинации служб и инструментов, которые являются общими для всего департамента, а также тех, которые находятся в индивидуальном ведении каждого из бюро, включая OCC, Службу внутренних доходов и Министерство финансов США. Олсон и другие эксперты, знакомые с системами Минфина, говорят, что децентрализованный характер операций по кибербезопасности создает риски, поскольку каждое бюро имеет разный бюджет и уровень квалификации персонала.
«В случае с Министерством финансов мы имеем дело с одной из главных гражданских целей», — сказал Олсон. «Это огромное предприятие с невероятным набором направлений деятельности. Поверхность атаки огромна».
Годовой бюджет министерства, выделенный на кибербезопасность, увеличился примерно на 400 миллионов долларов с конца 2020 года, когда, согласно общедоступным бюджетным документам, стало известно о вторжении в федеральные агентства США предполагаемых российских шпионов.
«Можно лишь сделать вывод, что эти усилия либо неполны, либо неэффективны», — сказал Олсон, говоря о том, как Министерство финансов тратит средства, выделенные на кибербезопасность.
Минфин неоднократно предупреждался о недостатках кибербезопасности и потенциальных подводных камнях.
Например, согласно отчету Управления генерального инспектора Министерства финансов, предоставленному Bloomberg в рамках иска по Закону о свободе информации, внутренние расследования выявили попытки некоторых руководителей OCC подорвать антифишинговые мероприятия ИТ-отдела. Руководители предупреждали сотрудников об электронных письмах, которые были частью обучения, что позволяло им правильно идентифицировать сообщения как тестовые, не проходя при этом предусмотренного обучения.
Например, согласно отчету Управления генерального инспектора Казначейства, предоставленному Bloomberg в рамках иска о нарушении Закона о свободе информации, внутренние следователи выявили попытки некоторых руководителей OCC подорвать антифишинговые мероприятия ИТ-отдела. Руководители делали это, предупреждая сотрудников об электронных письмах, являвшихся частью обучения, что позволяло им правильно идентифицировать сообщения как тестовые, не проходя запланированного обучения.
Никто не был наказан, поскольку в OCC не было политики, направленной против такого поведения. Кроме того, несмотря на общепризнанные рекомендации о том, что подобные мероприятия не должны носить карательного характера, один сотрудник сообщил следователям, что предупредил коллег, поскольку результаты были доложены руководству и включены «в наш план эффективности», говорится в отчете.
Осенью прошлого года, как следует из другого отчета, генеральный инспектор предупредил департамент о рисках, связанных с кибератаками на подрядчиков и субподрядчиков, — всего за несколько месяцев до того, как был раскрыт случай взлома. В отчете также отмечается, что Министерство финансов и другие федеральные агентства не в полной мере внедрили руководящие принципы по снижению рисков кибербезопасности.
Кроме того, администрация Байдена дважды в год публиковала рейтинговую таблицу, отражающую прогресс федеральных агентств в повышении уровня кибербезопасности. Еще прошлой осенью Министерство финансов находилось в самом низу списка из-за низких оценок по темпам модернизации систем защиты компьютерных сетей и обнаружения кибератак. Однако это улучшение по сравнению с предыдущей оценкой, когда Министерство финансов занимало худшее место.
Министерство финансов не прокомментировало выводы генерального инспектора или рейтинговую таблицу безопасности для данной статьи.
Опасения финансового сектора относительно практики Министерства финансов в области кибербезопасности возникли как минимум пять лет назад, после взлома американских компаний и федеральных агентств, ответственность за который впоследствии была возложена на Службу внешней разведки России.
Злоумышленники заразили обновления программного обеспечения SolarWinds Corp., техасского производителя инструмента управления ИТ-ресурсами Orion, получив высокоуровневый доступ к Министерству финансов и другим федеральным агентствам, а также к их системам электронной почты.
Новые подробности атаки на SolarWinds, изложенные в отчете генерального инспектора Министерства финансов, полученном Bloomberg в рамках иска по Закону о свободе информации, показывают, что способность ведомства обнаружить атаку была затруднена нехваткой адекватного персонала по кибербезопасности. Руководитель группы реагирования на киберинциденты в штаб-квартире Министерства финансов, которая возглавляла расследование инцидента, сообщил следователям, что в его команде нет специалиста, занимающегося анализом сетевых журналов для выявления подозрительной компьютерной активности.
Согласно служебной записке генерального инспектора, содержавшей итоги интервью, если бы такой человек и такая должность существовали, утечку можно было бы обнаружить и остановить раньше. «Если Министерство финансов США собирает больше журналов, должен быть человек, который их просматривает, иначе нет смысла собирать то, что никто не просматривает», — заявил этот человек следователям.
Документы также показывают, что хакеры сосредоточились на восьми учетных записях электронной почты, включая учетные записи сотрудников, работающих над конфиденциальными вопросами, представляющими интерес для России. Один из них был ведущим следователем по санкциям в Управлении по контролю за иностранными активами (УКИ), который занимался делом лидера российских наемников Евгения Пригожина, близкого союзника президента России Владимира Путина, пока тот не устроил мятеж в 2023 году и не был убит вскоре после этого, по словам двух источников, знакомых с ситуацией. Другой был административным помощником заместителя министра, курировавшего отдел национальной безопасности министерства.
Министерство финансов США не прокомментировало новую информацию об атаке на SolarWinds.
В марте 2021 года, спустя несколько месяцев после того, как взлом был впервые раскрыт, более 70 финансовых компаний и торговых организаций направили письма тогдашнему госсекретарю Йеллен, критикуя действия её ведомства и призывая к более широкому обмену информацией в случае повторного взлома.
Утечка данных подчеркнула «необходимость расширения сотрудничества, особенно в отношении последствий инцидентов для государственных систем, хранящих конфиденциальную информацию, предоставляемую финансовыми учреждениями», говорится в письмах, с которыми ознакомилось агентство Bloomberg.
Последние утечки данных ещё больше усилили обеспокоенность сектора.
В ходе утечки, о которой Министерство финансов сообщило в декабре, предполагаемые китайские хакеры, спонсируемые государством, получили доступ к более чем 400 ноутбукам и настольным компьютерам, включая компьютеры Йеллен и некоторых её заместителей. Чтобы получить доступ к этим системам, хакеры взломали программное обеспечение кибербезопасности BeyondTrust Corp., которое Министерство финансов использовало для управления удалённым доступом к своим компьютерам.
Компания BeyondTrust, принадлежащая частным инвестиционным компаниям Clearlake Capital Group и Francisco Partners, отказалась от комментариев, сославшись на более раннее заявление.
По словам источников, знакомых с ситуацией и участвовавших в расследовании, системы мониторинга Министерства финансов не были настроены на выявление подозрительных закономерностей в логинах BeyondTrust после окончания рабочего дня в США. Хакеры действовали в Китае в обычное рабочее время, неоднократно обращаясь к компьютерам сотрудников Министерства финансов на уровнях, которые должны были бы вызвать срабатывание сигнализации, если бы таковая была установлена, сообщил один из источников.
После взлома команда кибербезопасности Министерства финансов обновила свои системы мониторинга для выявления подобных закономерностей, сообщил источник.
Новые подробности, основанные на интервью, показывают, что хакеры использовали обходной путь для проникновения в Министерство финансов.
Они проникли в системы BeyondTrust через систему управления контентом веб-сайтов Craft CMS, разработанную компанией Pixel & Tonic из Орегона. BeyondTrust использовал Craft CMS для создания веб-сайта, и хакеры каким-то образом получили цифровой пароль к этому сайту, сообщил основатель Pixel & Tonic, Брэндон Келли.
Компания Pixel & Tonic не сталкивалась с подобной эксплуатацией уязвимости у других клиентов и не знает, как хакеры проникли с сайта в системы Министерства финансов, заявил Келли в интервью.
«Наше программное обеспечение было одним из звеньев в цепочке событий, приведших к взлому Министерства финансов», — сказал он.
Министерство финансов узнало о взломе от BeyondTrust, согласно докладу министерства, направленному членам Конгресса и попавшему в распоряжение Bloomberg. После взлома Министерство финансов прекратило использование продуктов BeyondTrust, сообщили источники, знакомые с ситуацией. Министерство финансов не прокомментировало новые подробности этой кибератаки.
В ходе последнего взлома OCC, хакеры получили доступ примерно к 150 000 электронных писем, получив, по словам агентства, «высококонфиденциальную банковскую и надзорную информацию».
Как ранее сообщали Bloomberg источники, знакомые с инцидентом, в OCC не была включена многофакторная аутентификация — базовая мера кибербезопасности — для административной учётной записи электронной почты, которой воспользовались хакеры. Эта функция отправляла код безопасности на устройство, контролируемое владельцем учётной записи, и, вероятно, остановила бы злоумышленников, заявили они.
Учётная запись электронной почты, позволившая хакерам проникнуть в сеть OCC, также была старой и должна была быть отключена. Более того, по словам источников, знакомых с ситуацией, в ней отсутствовала защита, которая проверяла бы, использовал ли пользователь авторизованное правительственное устройство или подключался через одобренную сеть. Использование хакерами платного VPN-сервиса должно было вызвать тревогу и побудить к дальнейшему расследованию, заявили источники.
Представитель OCC заявил, что у затронутой учётной записи был «сложный пароль» и отдельная функция безопасности для контроля доступа, но внешний подрядчик не настроил эту функцию должным образом. После обнаружения взлома бюро совместно с Microsoft Corp. провело проверку и убедилось, что функция безопасности работает должным образом, сообщил представитель.
«OCC серьёзно относится к своим обязательствам по информационной безопасности», — заявил представитель.
Энтони Ферранте, руководитель отдела кибербезопасности в FTI Consulting, Inc. и бывший высокопоставленный сотрудник по кибербезопасности в Совете национальной безопасности и ФБР, заявил, что взломы в системе Минфина ясно показывают, «что государственные агентства, ответственные за финансовый надзор, не являются неприступными крепостями, на которые мы надеялись».
По словам источников, знакомых с ситуацией, JPMorgan и BNY в конечном итоге восстановили подключение к системе OCC, использовавшейся для обмена конфиденциальными данными, после того, как получили подтверждение от внешних специалистов бюро по кибербезопасности о том, что система безопасна.
Некоторые опасаются, что влияние DOGE на киберзащиту Минфина усугубит ситуацию.
Министерство финансов США объявило о планах уволить «значительное число» из более чем 100 000 своих сотрудников в различных управлениях в соответствии с указом Трампа о реализации инициативы DOGE, сообщило агентство Bloomberg в марте со ссылкой на судебное заявление.
Многие руководители служб компьютерной безопасности в Министерстве финансов и различных его подразделениях были отправлены в отпуск, досрочно вышли на пенсию или приняли предложения о выкупе, выдвинутые Маском. Среди них как минимум восемь ведущих специалистов по кибербезопасности в Налоговом управлении США (IRS), которые были среди 50 IT-специалистов, отправленных агентством в отпуск в период уплаты налогов, сообщает Bloomberg.
По словам источников, знакомых с ситуацией, в IRS эти сокращения привели к тому, что в центре реагирования на киберинциденты и системе Secure Access Digital Identity, которая помогает аутентифицировать пользователей, получающих доступ к онлайн-инструментам налогового агентства, осталось недостаточно персонала.
IRS не ответил на запросы о комментариях, а Министерство финансов отказалось комментировать вопросы о кадровом обеспечении в сфере кибербезопасности. Представитель Министерства финансов ранее сообщил Bloomberg, что сотрудники IRS, отправленные в отпуск, — это «в основном нетехнический персонал, занимающий технические должности, связанные с принятием решений».
Налоговое управление США не ответило на запросы о комментариях, а Минфин отказался комментировать вопросы о персонале службы кибербезопасности. Представитель Министерства финансов ранее сообщил Bloomberg, что сотрудники Налоговой службы, отправленные в отпуск, были «в основном нетехническим персоналом, который отвечал за принятие технических решений».
По словам людей, знакомых с этим вопросом, среди руководителей Министерства финансов, занимающихся вопросами кибербезопасности, которые согласились на выкуп акций DOGE, есть директор по технологиям, директор по информационным технологиям, директор по информационной безопасности, а также многочисленные заместители и другие сотрудники.
Сэм Коркос, соучредитель стартапа в области медицинских технологий и член команды DOGE в Министерстве финансов, был назначен новым директором департамента по информационным технологиям в мае. Он не ответил на запросы о комментариях.