美國海軍審計發現潛艇網絡安全問題

位于關島的快速攻擊潛艇阿什維爾于 2020 年 4 月通過阿普拉港。去年秋天完成的海軍審計發現，分配給太平洋海軍潛艇部隊的船只的網絡安全檢查滯后。（海軍） 

近年來，隨著針對民用和軍用網絡的黑客、入侵和攻擊有所增加，美國海軍和其他軍種高度重視網絡安全，并確保其系統盡可能增強以抵御不良行為者的侵害。

但根據《海軍時報》獲得的美國海軍內部審計，太平洋海軍潛艇部隊及其投標的潛艇近年來沒有接受必要的內部和外部網絡安全檢查，這在一些最強大的海上服務中引發了網絡漏洞的擔憂。

去年 9 月發布的美國海軍審計署報告發現，美國海軍艦隊網絡司令部沒有按照 2016 年至 2018 年的要求檢查和評估 41 艘 SUBPAC 潛艇和兩艘招標的網絡安全，并且未能記錄這些檢查未通過的原因。

根據審計報告，當被問及負責此類漏洞評估和信息技術網絡入侵評估的人員時，他們表示由于人員不足沒有進行測試，而這些測試要求每三年進行一次。

“有人告訴我們，他們沒有足夠的人員來滿足對所有信息系統的三年一次檢查要求，因此他們排除了美國海軍潛艇網絡，”這是根據《海軍時報》通過信息自由法案記錄請求獲得的審計結果。

這些人員告訴審計員，他們決定減少子網絡檢查，因為這些艦艇在進行操作時會與網絡斷開連接，并且他們“非正式地確定”使用更頻繁的美國海軍網絡更容易受到攻擊，應該優先進行檢查。

工作人員還表示，他們沒有記錄排除投標和投標的理由，因為沒有相關政策要求記錄此類決定。

審計員寫道，“從檢查工作量中排除海底網絡可能會使美國國防部信息網絡面臨不可接受的風險水平。”

審計結果建議了幾項改革，美國艦隊網絡司令部同意了這些建議。

美國艦隊網絡司令部司令部發言人 Cmdr 表示，該司令部已經完成了“對我們的檢查地點選擇和優先排序過程的全面審查，并重新努力將包括潛艇和潛艇招標船在內的水上部隊納入其中。” 大衛·本漢姆周四在一封電子郵件中說。

審計員還發現 SUBPAC 在網絡檢查方面存在不足。

盡管制定了正式的網絡安全檢查政策，但審計員發現 SUBPAC“缺乏足夠的監督控制和明確的程序，也沒有正式的培訓來確保所需的網絡安全檢查得到執行和正確記錄。”

總而言之，SUBPAC 及其中隊沒有保留文件，表明在 2016 年至 2018 年期間對 53% 的必要檢查進行了強制網絡安全檢查。

審計報告指出：“因此，COMSUBPAC 缺乏對潛艇和招標盡可能網絡就緒和安全的保證。” “檢查員也有可能不會進行一致和徹底的檢查或跟進先前指出的缺陷。”

審計發現 SUBPAC 沒有確保糾正措施得到解決，并且沒有明確的程序來執行和記錄網絡安全檢查。

“此外，據 COMSUBPAC 的網絡部門稱，其檢查員沒有接受有關如何正確記錄和維護（直接上級指揮）網絡安全檢查過程的文件的正式培訓，”報告指出。

審計員建議進行幾項更改以加強 SUBPAC 的網絡安全流程，包括制定監督流程和加強檢查系統以更好地定義程序——命令同意的處方。

SUBPAC 官員周四沒有立即回應有關審計的評論請求。

Geoff Ziezulewicz：Geoff 是《軍事時報》的高級記者，專注于美國海軍。他廣泛報道伊拉克和阿富汗，最近是芝加哥論壇報的記者。他歡迎通過 geoffz@militarytimes.com 提供任何和各種提示。