美國國防部總督察長室（DOD IG）本週五披露了美國彈道導彈防禦系統（BMDS）的安全審計，其中對網絡安全的相關描述寫道：“沒有數據加密、沒有防病毒程序、沒有多因素身份認證機制，28年的陳舊漏洞至今仍未修補。”BMDS是美國國防部計劃通過發射彈道導彈攔截敵方核彈來保護美國領土的計劃。在審計報告[PDF]中，DOD IG官員對BMDS中的導彈防禦局（MDA）存放的彈道導彈站點進行了隨機調查。

在這份安全審計報告中得出的結論是：“陸軍、海軍和MDA都沒有保護網絡和系統來處理、存儲和運輸BMDS技術信息。”審計人員發現了幾個比較嚴重的問題，其中最大的就是尚未部署多因素身份驗證。

在正常情況下，任何新的MDA員工都會收到用於訪問BMDS網絡的用戶名和密碼。隨著新員工進入新工作崗位，他們還會收到一張公共訪問卡（CAC）。通常他們必須將CAC和密碼配合使用，並將其作為第二因素身份驗證。而且正常程序表明，所有新的MDA工作人員必須在僱用後的兩週內使用多因素身份驗證。

但在這份審計報告中在隨機抽查的5個站點中，調查人員發現有3個站點內的很多用戶並沒有啟用多因素身份驗證，並且仍然使用他們的用戶名和密碼來訪問BMDS的網絡。一位用戶在沒有卡提供保護的情況下訪問了BMDS數據七年，在一個MDA 上，調查人員表示他們還發現網絡從未配置為支持多因素身份驗證。

缺乏多因素身份驗證意味著員工容易受到網絡釣魚攻擊，這些攻擊可以收集密碼並允許攻擊者遠程或本地訪問BMDS系統而不會出現進一步的安全挑戰（第二個身份驗證因素）。

更令人擔憂的是，DOD IG審計人員發現在他們訪問的5個站點中，有3個站點的IT管理員並未安裝應用安全補丁，導致計算機和相鄰網絡系統容易受到遠程或本地攻擊。調查人員發現很多2016、2013年已經修復的漏洞並未及時安裝更新，甚至1990年的漏洞仍未修復。