У США тисячі внутрішніх документів, зокрема креслення стратегічних об’єктів, фінансові звіти та технічні специфікації, понад чотири роки залишалися доступними. Це сталося через помилку в налаштуваннях Google Drive.
Про це йдеться у статті The Washington Post. Видання зазначає, що через неправильно налаштовані права доступу працівники, які не мали б бачити ці матеріали, могли не лише переглядати, а й у деяких випадках змінювати вміст файлів.
У переліку відкритих даних – креслення і схеми будівель федерального значення, зокрема східного та західного крил Білого дому, специфікації щодо безпеки дверей у центрі для відвідувачів, а також фінансова інформація, пов’язана з урядовими підрядниками. Співробітники випадково поділилися папкою з конфіденційними документами з понад 11 200 людьми.
Окремі файли мали маркування Controlled Unclassified Information, тобто містили інформацію, яка не є державною таємницею, проте підлягає захисту відповідно до внутрішніх стандартів федеральної безпеки. У США така інформація вимагає обмеженого доступу та особливого поводження, оскільки її розголошення може завдати шкоди роботі державних структур.
Збій у налаштуваннях виник ще кілька років тому, і, за даними журналістів, витік охоплює період від завершення каденції Дональда Трампа до третього року президентства Джо Байдена.
Цікаво, що про проблему дізналися лише у квітні цього року – тоді аудитори GSA виявили підозрілу активність у доступах до внутрішніх документів. Проведена після цього перевірка підтвердила масове порушення.
У пресслужбі агентства повідомили, що вже вжито необхідних заходів для усунення вразливості: доступ до відповідних папок обмежено, а персонал проходить додаткове навчання щодо правил обігу конфіденційної інформації.
Однак це не заспокоїло експертів із кібербезпеки. Один зі співрозмовників видання підкреслив:
“Внутрішній контроль не є досконалим, але ми не просто дозволяємо речам відбуватися без перевірки. Це не те, що ми не намагаємося пом’якшити ситуацію, якщо і коли працівник робить помилку”.
На думку експерта зі спецінформації Стівена Афтергуда, навіть не засекречені документи можуть становити ризик, якщо містять чутливу інформацію:
“Навіть якби вони не були офіційно засекречені, – вони б утримувалися із очевидних міркувань безпеки”, – сказав фахівець.
Хоча наразі немає доказів того, що файли потрапили до сторонніх осіб чи були використані у шкідливих цілях, експерти з кібербезпеки вже назвали інцидент “тривожним сигналом”.
Вони наголошують: у контексті зростання кількості кібератак будь-яка вразливість у державних структурах може мати масштабні наслідки — навіть якщо йдеться не про секретні матеріали.
Розслідування триває. У Конгресі США вже вимагають пояснень щодо того, як стало можливим подібне системне порушення, яке залишалося непоміченим роками.