美国海军审计发现潜艇网络安全问题

位于关岛的快速攻击潜艇阿什维尔于 2020 年 4 月通过阿普拉港。去年秋天完成的海军审计发现，分配给太平洋海军潜艇部队的船只的网络安全检查滞后。（海军） 

近年来，随着针对民用和军用网络的黑客、入侵和攻击有所增加，美国海军和其他军种高度重视网络安全，并确保其系统尽可能增强以抵御不良行为者的侵害。

但根据《海军时报》获得的美国海军内部审计，太平洋海军潜艇部队及其投标的潜艇近年来没有接受必要的内部和外部网络安全检查，这在一些最强大的海上服务中引发了网络漏洞的担忧。

去年 9 月发布的美国海军审计署报告发现，美国海军舰队网络司令部没有按照 2016 年至 2018 年的要求检查和评估 41 艘 SUBPAC 潜艇和两艘招标的网络安全，并且未能记录这些检查未通过的原因。

根据审计报告，当被问及负责此类漏洞评估和信息技术网络入侵评估的人员时，他们表示由于人员不足没有进行测试，而这些测试要求每三年进行一次。

“有人告诉我们，他们没有足够的人员来满足对所有信息系统的三年一次检查要求，因此他们排除了美国海军潜艇网络，”这是根据《海军时报》通过信息自由法案记录请求获得的审计结果。

这些人员告诉审计员，他们决定减少子网络检查，因为这些舰艇在进行操作时会与网络断开连接，并且他们“非正式地确定”使用更频繁的美国海军网络更容易受到攻击，应该优先进行检查。

工作人员还表示，他们没有记录排除投标和投标的理由，因为没有相关政策要求记录此类决定。

审计员写道，“从检查工作量中排除海底网络可能会使美国国防部信息网络面临不可接受的风险水平。”

审计结果建议了几项改革，美国舰队网络司令部同意了这些建议。

美国舰队网络司令部司令部发言人 Cmdr 表示，该司令部已经完成了“对我们的检查地点选择和优先排序过程的全面审查，并重新努力将包括潜艇和潜艇招标船在内的水上部队纳入其中。” 大卫·本汉姆周四在一封电子邮件中说。

审计员还发现 SUBPAC 在网络检查方面存在不足。

尽管制定了正式的网络安全检查政策，但审计员发现 SUBPAC“缺乏足够的监督控制和明确的程序，也没有正式的培训来确保所需的网络安全检查得到执行和正确记录。”

总而言之，SUBPAC 及其中队没有保留文件，表明在 2016 年至 2018 年期间对 53% 的必要检查进行了强制网络安全检查。

审计报告指出：“因此，COMSUBPAC 缺乏对潜艇和招标尽可能网络就绪和安全的保证。” “检查员也有可能不会进行一致和彻底的检查或跟进先前指出的缺陷。”

审计发现 SUBPAC 没有确保纠正措施得到解决，并且没有明确的程序来执行和记录网络安全检查。

“此外，据 COMSUBPAC 的网络部门称，其检查员没有接受有关如何正确记录和维护（直接上级指挥）网络安全检查过程的文件的正式培训，”报告指出。

审计员建议进行几项更改以加强 SUBPAC 的网络安全流程，包括制定监督流程和加强检查系统以更好地定义程序——命令同意的处方。

SUBPAC 官员周四没有立即回应有关审计的评论请求。

Geoff Ziezulewicz：Geoff 是《军事时报》的高级记者，专注于美国海军。他广泛报道伊拉克和阿富汗，最近是芝加哥论坛报的记者。他欢迎通过 geoffz@militarytimes.com 提供任何和各种提示。