據外媒Motherboard報導，美國國防部五角大樓在網絡安全方面做得非常糟糕，以上結論來自國防部總監察長辦公室（IG）的最新評估報告，後者深入調查了美國軍方維護其部門網絡安全的能力。

結果不是很好。“截至2018年9月30日，有266項與網絡安全有關的開放建議，這些建議可追溯到2008年，”國防部總監察長在一份新報告中說。

新報告概述了IG在過去一年中對五角大樓的網絡安全進行的調查結果。它調查了20份機密和4份機密報告，詳細說明了在給出建議後國防部的網絡安全問題，以及後續解決情況。此前，總監查辦公室曾建議軍方採取159個不同的步驟來提高網絡安全性，調查後發現國防部只採納了19個步驟。

網絡安全問題影響到軍方的所有下屬部門分支，範圍從嚴重到平常。在連接到美國彈道導彈防禦系統的服務器站點，監察員“發現一個未上鎖的服務器機架，而這台機架上就貼有標誌，要求服務器機架門必須始終保持鎖定狀態。”

根據當時IT安全官員的說法，“網絡運營人員曾經幫助那台被發現未上鎖的機架中的服務器排除故障，但是當他們完成服務器維護後，並未通知習慣的助力安全經理，導致他並未及時鎖上它。”

在同一地點，官員們也沒有在通過USB記憶棒和可移動硬盤驅動器從計算機傳輸數據時使用推薦的加密步驟。“根據安全經理…… [省略]存儲在可移動媒體上的非機密信息被加密的不到百分之一。”

這些糟糕的安全措施正發生在運行美國導彈防禦系統的設施上。當外國發生核打擊的情況下，這些人負責守望天空並且負責保護美國城市，但他們從不花費心思在數據加密或為他們的服務器機架上鎖這些事情上。

如果正式的軍事人員安全意識底下，那麼國防承包商的狀況就會更糟。調查人員深入研究了為美國導彈防禦局工作的七名承包商的網絡安全做法，發現了多個漏洞。“在我們分析的七個承包商中，我們發現[其中5個]不會經常或者一直使用多因素認證來訪問非機密網絡，儘管這些網絡可能包含[彈道導彈防禦系統]技術信息”監察員寫道。

承包商也未能實施自主的風險評估，不使用加密數據的USB驅動器或硬盤驅動器，也不使用強密碼。“五個承包商的系統管理員沒有將包含[彈道導彈防禦系統]技術信息的網絡和系統配置成’在15分鐘不活動後鎖定用戶會話’”調查人員發現。這意味著任何人登錄過一台裝滿了機密導彈防禦數據的計算機後都可能使其處於無人看管狀態，計算機永遠不會自行登出。

糟糕的密碼

美國的武器系統也很容易被基本簡單的工具破解。政府問責辦公室10月份的一份報告指出，五角大樓的武器系統存在缺陷，使他們特別容易遭受網絡攻擊。監察長辦公室的後續調查發現，尤其是空軍官員仍然沒有“確保在設計過程中將網絡安全納入武器系統。相反，武器系統的網絡安全是通過一系列不完整的整合裝配和產品來解決的，武器網絡安全系統總是會產生不吻合或者重複情況。“空軍仍然不打算在多個武器系統上更改其默認密碼，而在設計和發射新的武器系統時，空軍也沒有遵循自己的網絡安全協議。

五角大樓的網絡安全問題足以影響導彈防禦和新型武器，它們也損害了普通士兵的利益。監察長辦公室指出，陸軍醫療設施是網絡安全的噩夢，安全程序鬆懈，可以輕鬆獲取患者病歷。

根據陸軍規定，密碼長度必須為15個字符，包含大寫和小寫字母，數字和符號。在多個醫療機構，調查人員發現管理員更改了規則以允許更簡單的密碼。“在每種情況下，系統管理員都表示他們沒有正確配置密碼，因為他們認為現有的網絡身份驗證保護足以控制對單個系統的訪問，”檢查員說。

像武器系統和彈道導彈防禦承包商一樣，陸軍的醫療健康記錄非常容易破解，密碼保護不佳，並且計算機終端沒有程序為用戶自動註銷。

各個部門之間的問題非常相似，調查人員在新報告中指出了這一點。根據五角大樓的監督機構

，網絡安全失敗主要來自領導層問題，高層的網絡安全意識鬆懈也讓其他人無需擔負責任。

“在今年的總結中發現的最大數量的安全弱項完全與治理有關，”調查人員解釋說。“如果沒有合適的治理，五角大樓就無法確保它有效地識別和管理網絡安全風險，因為它持續面臨來自對手的越來越多的網絡威脅，例如用於破壞，降級或破壞目標信息系統的攻擊性網絡空間控制。”