新闻快讯
< >

美能源部在网络会议期间入侵参会者

E安全6月28日讯 美国能源部企业评估办公室(OEA)负责在核工业、网络和物理安全领域展开独立评估。在OEA内部,网络评估办公室(OCA)负责评估能源部网络安全政策的有效性等。

美能源部在网络会议期间入侵参会者-E安全

2016年能源部网络会议由首席信息官办公室(OCIO)主办。会议期间,OCA启动了一项未事先公布的评估测试。为了测试, OCA在会场大厦内安装了未经授权的数据窃取设备,其结果证明,未经授权的各方要窃取数据相当容易。

官员表示,本次测试的目的是为了确定参与者是否会连接政府和个人设备到充电站。由于多名部门官员关注OCA在评估之前未与OCIO协调的事实,因此监察长办公室启动特殊调查,以确定这次评估测试的事实和具体情况。

测试过程

能源部监察长办公室(OIG)发布的报告指出,在亚特兰大非政府建筑内举行的网络会议展厅里,OCA放置了两台伪装成移动设备充电站的数据收集设备,从而展开了一场未事先宣布的红队演习。

这两台设备,白色亚克力盒子中贴有能源部的标签,外面贴有能源部网络会议“充电站”标签,仅收集设备名称、序列号、厂家和型号,以编制统计数据,未收集个人身份信息。但未事先通知测试这一事实表明,缺乏适当的管治可能会打破安全方面的程序。

美能源部在网络会议期间入侵参会者-E安全

会议规划代表几小时内发现了设备,并向会议主办方OCIO做了汇报,之后设备被移除,OCIO管理人员与网络评估办公室的人员为此会面讨论了此事。

这份报告发现,设备被发现时,安全、执法机构的员工未收到通知,他们可能会谨慎考虑参会时充电站来源不明的情况。

报告建议,审查并更新未来网络评估指南 ,强化管理监督程序,解决识别与响应安全威胁的部门政策与培训程序。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。