image

Pentagon kocht voor miljoenen producten met bekende lekken

maandag 5 augustus 2019, 15:31 door Redactie, 0 reacties

Het Amerikaanse ministerie van Defensie heeft vorig jaar voor tientallen miljoenen dollars producten gekocht die bekende kwetsbaarheden bleken te bevatten. Dat blijkt uit een audit van de Office of Inspector General (OIG) van het ministerie (pdf).

De OIG wilde kijken of het Pentagon bij de aanschaf van commerciële "off-the-shelf" (COTS) producten rekening houdt met cybersecurity. Uit de audit blijkt dat de Amerikaanse land- en luchtmacht in 2018 voor minstens 32,8 miljoen dollar aan COTS-producten hebben gekocht die bekende beveiligingslekken bleken te bevatten. Het gaat om computers van Lenovo, printers van Lexmark en GoPro-camera's. De aanschaf is volgens de OIG mogelijk omdat het ministerie geen organisatie of groep verantwoordelijk heeft gemaakt om de digitale beveiligingsrisico's van COTS-producten te beheren.

Ook is er geen inkoopbeleid dat proactief met deze risico's rekening houdt. Verder ontbreekt er een lijst met goedgekeurde producten waardoor de aanschaf van onveilige producten wordt voorkomen. Aanvallers kunnen hierdoor misbruik maken van de kwetsbaarheden die aanwezig zijn in de door het Pentagon aangeschafte COTS-producten. "Als het ministerie van Defensie COTS-producten blijft aanschaffen zonder bekende kwetsbaarheden in deze apparaten te identificeren, beoordelen en verhelpen, kunnen missies in het belang van de nationale veiligheid gevaar lopen", aldus de OIG.

Het ministerie krijgt het advies om inkoopbeleid op te stellen dat organisaties verplicht om voor de aanschaf van COTS-producten de cybersecurityrisico's te beoordelen. Daarnaast moeten deelnemers aan het inkoopprogramma training over veelvoorkomende cyberrisico's van COTS-producten krijgen en welke gevolgen dit voor de missie van het onderdeel kan hebben. Tevens moet er beleid worden ingevoerd waardoor onderdelen van het ministerie kan worden verboden om onveilige producten aan te schaffen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.