สหรัฐอเมริกาซุ่มทดสอบเจ้าหน้าที่รัฐ พบ 1 ใน 3 หลงกลฟิชชิ่ง

ผู้ตรวจสอบจากรัฐมิชิแกนเผยผลการทดสอบความรู้ความเข้าใจของเจ้าหน้าที่รัฐในหน่วยงานด้านไซเบอร์ซีเคียวริตี ต่อการถูกล่อลวงบนอินเทอร์เน็ต หรือฟิชชิ่ง พบ 1 ใน 3 ของเจ้าหน้าที่หลงคลิกลิงก์ที่ส่งมาเป็นเหยื่อล่อ และมีถึง 1 ใน 5 ป้อนยูสเซอร์เนมและพาสเวิร์ดของตัวเองลงในหน้าจอปลอมที่ผู้ตรวจสอบสร้างขึ้น

การทดสอบนี้ได้สุ่มเลือกเจ้าหน้าที่รัฐ จำนวน 5,000 คน และส่งอีเมลให้กับบรรดาเจ้าหน้าที่เหล่านั้น โดยเนื้อหาใจความของอีเมล คือ การบอกว่า พาสเวิร์ดในการล็อกอินเข้าระบบนั้นหมดอายุ ซึ่งเป็นเทคนิคที่บรรดาแฮกเกอร์ส่วนใหญ่นิยมใช้กัน ซึ่งฝ่ายตรวจสอบต้องการทราบผลว่า เจ้าหน้าที่แต่ละรายจะมีความตระหนักต่อประเด็นด้านซีเคียวริตีนี้มากเท่าไร ซึ่งผลก็คือ 1 ใน 3 ของเจ้าหน้าที่หลงคลิกลิงก์ที่ส่งมาเป็นเหยื่อล่อ และมีถึง 1 ใน 5 ป้อนยูสเซอร์เนมและพาสเวิร์ดของตัวเองลงในหน้าจอปลอมที่ผู้ตรวจสอบสร้างขึ้น

เมื่อการทดสอบจบลง ฝ่ายตรวจสอบสามารถระบุจุดอ่อนของเจ้าหน้าที่รัฐมิชิแกนได้ 14 จุด ซึ่งในจำนวนนี้มี 5 ประเด็นที่ส่งผลต่อระบบซีเคียวริตีขั้นรุนแรง ได้แก่

1. การไม่จัดเตรียมไฟร์วอลล์ให้สมบูรณ์เพียงพอ ทำให้ไม่สามารถตรวจสอบได้ว่า อุปกรณ์ที่เชื่อมต่อเข้าระบบเน็ตเวิร์กนั้น เป็นอุปกรณ์ที่เชื่อถือได้หรือไม่ ในจุดนี้ ผู้ตรวจสอบเห็นว่า หากสเปกของอุปกรณ์ที่มาเชื่อมต่อไม่ตรงกับสเปกที่รัฐต้องการ อาจเพิ่มความเสี่ยงให้ไวรัสแพร่กระจายบนระบบเน็ตเวิร์กได้

2. ไม่มีการประเมินความเสี่ยง

3. จำเป็นต้องปรับปรุงระบบการควบคุมการตั้งค่า และบริหารจัดการ เนื่องจากมีผลโดยตรงต่อความสามารถในการปกป้องเน็ตเวิร์กของรัฐจากภัยคุกคาม และช่องโหว่ต่าง ๆ

4. ขาดกระบวนการในการอัปเดตให้มีประสิทธิภาพ

5. กฎที่ตั้งไว้สำหรับไฟร์วอลล์ไม่ได้ถูกตรวจสอบตามเวลาที่กำหนด ทำให้อาจไม่สามารถปกป้องเน็ตเวิร์กจากภัยคุกคามได้

อย่างไรก็ตาม โดยรวมแล้ว คณะผู้ตรวจสอบก็ประเมินว่า ความพยายามของรัฐในการออกแบบบริหารและตรวจสอบเครือข่ายไอทีของรัฐมิชิแกนนั้น มีความปลอดภัยระดับ “พอสมควร”