17 décembre 2018 | International, C4ISR
The Army, Navy and Missile Defense Agency are failing to take basic cybersecurity steps to ensure that information on America's ballistic missile defense system won't fall into nefarious hands, according to a Defense Department Inspector General audit released Friday.
Investigators visited five sites that manage ballistic missile defense elements and technical information, but the names of the commands were redacted in the publicly released report.
“The Army, Navy and MDA did not protect networks and systems that process, store, and transmit (missile defense) technical information from unauthorized access and use,” the declassified report states.
Such inadequacies “may allow U.S. adversaries to circumvent (missile defense) capabilities, leaving the United States vulnerable to missile attacks,” the report states.
They found officials failed to employ safeguards familiar to most people online in 2018, the latest development to raise questions about the U.S. military's cybersecurity vulnerabilities.
Among the shortcomings: Administrators for classified networks had no intrusion detection and prevention systems in place to watch for cyberattacks, much less stop them, according to the report.
At one site, officials said they had requested to purchase those cyber safeguards in December 2017 but nine months later it still hadn't been approved.
“Without intrusion detection and prevention capabilities, (the site) cannot detect malicious attempts to access its networks and prevent cyberattacks designed to obtain unauthorized access and exfiltrate sensitive (missile defense) technical information,” the report states.
Officials also failed to patch system flaws after receiving vulnerability alerts, one of which had first been identified in 1990 and had still not been fixed by April.
Another vulnerability that could be exploited by an attacker was first identified in 2013 but also was never pathced, according to the report.
“Countless cyber incident reports show that the overwhelming majority of incidents are preventable by implementing basic cyber hygiene and data safeguards, which include regularly patching known vulnerabilities,” the IG report states. “(Missile defense) technical information that is critical to national security could be compromised through cyberattacks that are designed to exploit these weaknesses.”
Some facilities failed to force employees to use common access cards, or CAC, when accessing the classified system, a basic cybersecurity practice known as multi-factor identification.
Instead, officials were able to access the sensitive information using just a username and password, the report states.
Hackers use phishing and other tactics to exploit passwords and gain access to such systems.
New hires are supposed to be allowed network access without a card for only their first two weeks on the job. But IG investigators found users on the systems without CAC cards for up to seven years.
At one site, a domain administrator never configured the network to allow only CAC holder access.
“Allowing users to access networks using single factor authentication increases the potential that cyber attackers could exploit passwords and gain access to sensitive (missile defense) technical information,” the report states.
Investigators also found unlocked server racks at some locations, another key vulnerability to insider snoopers.
“The insider threat risk necessitates that organizations implement controls...to reduce the risk of malicious personnel manipulating a server's ability to function as intended and compromising sensitive and classified data,” the report states.
External storage devices held unencrypted data and some sites failed to track who was accessing data, and why. Other administrators told investigators that they lacked the ability to record or monitor data downloaded from the network onto these devices.
Unless these officials enforce the encryption of such removed data and monitor its downloading and transferring, “they will be at increased risk of not protecting sensitive and classified (missile defense) technical information from malicious users,” the report states.
Investigators also found that some supposedly secure sites were failing to even lock their doors. One location had a security door that hadn't worked for years.
“Although security officials were aware of the problem, they did not take appropriate actions to prevent unauthorized personnel from gaining unauthorized access to the facility,” the report states.
Other sites featured no security cameras to monitor personnel movement and security officers failed to conduct badge checks.
While the report makes recommendations to fix the documented problems, officials for the inspected agencies offered no comments on the non-classified draft report of the audit.
Friday's scathing IG audit marked the latest in a string of reports detailing shoddy cybersecurity throughout the armed forces and defense contractors.
During the same week, the Wall St. Journal reported that Chinese hackers are targeting military systems and those of defense contractors working on Navy projects.
Beijing-linked cyber raids have attempted to steal everything from missile plans to ship-maintenance data in a series of hacks over the past 18 months, the Journal reports.
As a result, Navy Secretary Richard Spencer has ordered a “comprehensive cybersecurity review” to assess if the Navy's cyber efforts “are optimally focused, organized, and resourced to prevent serious breaches,” spokesman Capt. Greg Hicks said.
The review will also look at authorities, accountability and if the efforts reflect and incorporate government and industry best practices, he said.
“Secretary Spencer's decision to direct a review reflects the serious to which the DoN prioritizes cybersecurity in this era of renewed great power competition,” Hicks said.
27 décembre 2023 | International, Terrestre
Worth around €328 million, the contract encompasses the delivery of four systems as well as training, spare parts and other services
22 juillet 2019 | International, Naval
Une montée en puissance lente La présence va être renforcée peu à peu. Aux côtés du HMS Montrose (F-236), une frégate de type 23 déjà sur place, la Royal Navy a envoyé sur place le HMS Duncan (D-37), un destroyer de Type 45 destroyer), qui devrait sur zone dans quelques jours, d'ici « le 29 juillet ». Ce sera la « première étape dans ce processus de montée en puissance ». Objectif : protéger les navires battant pavillon britannique (tankers pétroliers, transporteurs de gaz liquéfié, cargos...) naviguant dans le détroit d'Ormuz. Jérémy Hunt a tenu à cependant à avertir que cet effort n'était pas militaire. « Nous faisons cela, non pas accroitre la tension, mais parce que nous estimons que la liberté de navigation est importante. Ce que nous recherchons est la désescalade. » Une force européenne, la France répondra présent « La coalition proposée sera placée sous le leadership européen » a précisé Jérémy Hunt. Plusieurs pays ont été contactés pour participer à cette force, dont le format n'est pas précisé exactement. La France et l'Allemagne notamment a précisé le ministre britannique, ayant indiqué avoir parlé avec ses homologues Jean-Yves Le Drian et Heiko Maas. Les Pays-Bas et la Norvège — deux pays avec une industrie pétrolière — auraient aussi été contactés selon nos informations. La France répondra présent. La ministre de la Défense française Florence Parly l'a assuré ce lundi après-midi après un entretien téléphonique avec son homologue britannique Penny Mordaunt. Il y a une « pleine solidarité » entre la France et le Royaume-Uni « alors qu'un pétrolier britannique est toujours retenu par l'Iran ». « La liberté de navigation dans le Golfe est un enjeu majeur de sécurité pour les Européens » a-t-elle indiqué. « Nous souhaitons travailler ensemble à la garantir. » Une force bien distincte de l'effort américain Cette force agira en coordination avec les autres forces, notamment américaines présentes dans la zone. « On ne peut pas exclure les Américains. Nous agirons en coordination avec eux ils ont des moyens de ravitaillement en mer ou d'information » qui sont utiles à l'opération. Mais cette force sera bien distincte. Le chef de la diplomatie britannique a tenu cependant à le préciser devant la Chambre des communes, il ne s'agit pas pour les Britanniques de s'associer aux efforts américains en cours visant à briser l'Iran. « Cela ne fait pas partie de l'effort maximum des Américains sur l'Iran, car nous sommes engagés dans l'accord sur le nucléaire iranien. » Des règles d'engagement élaborées Les règles d'engagement sont en cours d'élaboration, mais le ministre n'a pas tenu devant la chambre à en donner tous les détails. Les navires marchands devront aussi faire un effort pour accroitre leur sécurité. « On pourra pas assurer un risque zéro, mais on pourra le réduire. » Tous les navires battant pavillon britannique transitant par le détroit d'Ormuz devront ainsi communiquer la date de leur passage pour « nous permettre d'offrir la meilleure protection possible ». D'autres mesures pourraient aussi être nécessaires. Un élément doublement stratégique Ce lancement est intéressant. On avait connu des Britanniques beaucoup plus atlantiques et moins européennes. Aussi quand Jérémy Hunt, un ministre tory bon teint, annonce une « European-led maritime force », menée en « coalition » (1) on se pince presque pour se dire qu'on ne rêve pas. Même le plus audacieux Européen n'aurait jamais imaginé une situation où Londres réclame une opération ‘européenne'. C'est assez ironique qu'il fallait le Brexit (et Donald Trump) pour que les Britanniques se souviennent qu'avoir une force européenne peut avoir autant d'intérêt qu'une force euro-atlantique. Mais c'est une affaire de haute politique. Il s'agit pour les Britanniques de bien se distinguer des efforts américains en cours contre l'Iran. Le chef du Foreign Office l'a répété à plusieurs reprises, interrogé par les députés de la Chambre des communes : cette force sera bien distincte de l'effort américain. Un geste de puissance douce Et placer cette force sous commandement de l'OTAN serait un signe immédiat d'hostilité. Le placer sous commandement européen est un geste de ‘puissance douce'. L'Europe peut afficher qu'elle ne vise que la protection des navires, comme elle l'a fait dans l'Océan indien, contre les pirates somaliens, de concert d'ailleurs avec des navires iraniens. Et parmi les députés britanniques, cette force européenne de lutte contre la piraterie (commandée par les Britanniques depuis Northwood) est un « véritable succès ». Les députés britanniques l'ont rappelé lors du débat à la chambre. Une campagne en cours N'oublions pas cependant un élément principal : Jérémy Hunt est en campagne actuellement pour briguer le poste de chef du parti conservateur et dans le même temps celui de Premier ministre. Il a intérêt à la fois à durcir le ton, mais aussi à affirmer sa différence avec Boris Johnson sur un point essentiel : la coopération avec l'Europe. En défendant la mise en place d'une force européenne dans le détroit d'Ormuz, il affirme sa détermination. En la plaçant sous l'emblème de l'Europe, il affiche la nécessité d'avoir une approche plus mesurée qu'un hard deal. Car, dès aujourd'hui, les Britanniques peuvent et auront besoin des Européens. Un besoin d'Europe Soyons clairs. Même dynamique, la flotte britannique ne suffira pas à assurer la protection des navires soit battant pavillon britannique, soit propriété ou armé par une compagnie britannique. Il faut une coalition d'Européens. Au passage, cela permet à la marine britannique de retrouver un rôle et une mission de premier plan, depuis qu'elle ne participe plus ni à la force anti-piraterie de l'UE déployée dans l'Océan indien, ni dans les opérations en Méditerranée. Le QG d'opération de Northwood va pouvoir ainsi retrouver une vocation maritime qu'il avait perdue avec le départ de l'opération EUNAVFOR Atalanta pour un QG espagnol (pour cause de Brexit). (Nicolas Gros-Verheyde)https://www.bruxelles2.eu/2019/07/22/londres-lance-une-force-europeenne-de-protection-maritime-dans-le-golfe-les-francais-repondent-present/
14 juin 2021 | International, Aérospatial, Naval