美國網路安全局CISA坦承:事件發生時才臨時制定應變手冊
美國網路安全暨基礎設施安全局(CISA)一名承包商員工將大量密碼上傳至公開可存取的GitHub儲存庫,遭獨立資安記者Brian Krebs於五月揭露。事後CISA坦承,機構在事件處理過程中才被迫臨時制定應變處置手冊,凸顯內部資安管理存在嚴重漏洞。

文章重點
- CISA承包商員工將大量密碼上傳至公開可存取的GitHub儲存庫,遭資安公司GitGuardian研究員發現。
- 獨立資安記者Brian Krebs於2024年五月公開披露此次CISA密碼外洩事件。
- CISA坦承在事件處理過程中才臨時制定應變手冊,顯示機構事前毫無完整應變準備。
- 此事件暴露聯邦政府機構在第三方承包商資安管控上的嚴重漏洞。
- CISA宣布將強化承包商資安管控措施並完善內部事件應變機制。
美國網路安全暨基礎設施安全局(CISA)近日坦承,在一起嚴重的資料外洩事件中,該機構竟是在事件處理過程中才臨時制定相關的應變處置手冊,此事引發外界對美國最高網路安全主管機關自身防護能力的高度質疑。
事件始末
獨立資安記者 Brian Krebs 於今年五月率先披露,資安公司 GitGuardian 的一名安全研究員發現,CISA 一名承包商員工將大量暴露的密碼上傳至一個可公開存取的 GitHub 儲存庫。這批遭到外洩的敏感憑證資料,任何人皆可在未經授權的情況下查閱,嚴重危及相關系統的安全性。
CISA 事後坦承準備不足
更令外界震驚的是,CISA 隨後承認,機構在事件爆發當下並未備有完整的應變處置手冊(incident playbook),相關應對程序係在事件進行中才緊急建立。這對一個肩負保護美國關鍵基礎設施與提供全國網路安全指引重責的機構而言,無疑是極為罕見且尷尬的處境。
引發廣泛質疑
此事件不僅凸顯聯邦政府機構在第三方承包商管理上的漏洞,更引發外界對 CISA 本身是否具備足夠應變能力的強烈質疑。批評人士指出,CISA 長期以來以推動「安全設計」(Secure by Design)原則為己任,如今自家卻爆出如此基本的資安疏失,公信力大受打擊。
目前 CISA 已表示將強化對承包商的資安管控措施,並完善內部事件應變機制,以防止類似事件再度發生。
原文來源: 查看原文
常見問題
Newsletter
訂閱低空產業電子報
每日精選低空經濟與無人機產業新聞,直送您的信箱。
本文由 LAETimes 編輯部審核發佈 ·


