Potrivit Krebs on Security, legislatori din ambele camere ale Congresului Statelor Unite au cerut explicatii urgente de la Agentia pentru Securitate Cibernetica si Infrastructura (CISA), dupa ce publicatia a dezvaluit ca un contractor al agentiei a publicat intentionat chei AWS GovCloud si o cantitate masiva de alte secrete ale institutiei pe un cont public GitHub. Incidentul reprezinta una dintre cele mai grave brese de securitate interna inregistrate la o agentie federala americana cu rol direct in protejarea infrastructurii critice.
Potrivit aceleiasi surse, CISA se afla inca in plin proces de gestionare a bresei, incercand sa invalideze credentialele scurse inainte ca acestea sa fie exploatate de actori malitioisi. Faptul ca datele au ajuns pe o platforma publica accesibila oricui ridica intrebari grave despre procedurile interne de control si despre nivelul de verificare aplicat contractorilor care au acces la informatii clasificate sau sensibile.
Cazul pune in lumina o vulnerabilitate sistemica frecvent intalnita in institutiile guvernamentale: dependenta de contractori externi carora li se acorda acces la sisteme critice fara mecanisme suficiente de supraveghere. Anchetele initiate de Congres vor viza probabil atat responsabilitatea individuala a contractorului, cat si esecurile institutionale care au permis o astfel de actiune sa treaca neobservata pana la publicarea stirii de catre jurnalisti.
Pentru comunitatea internationala de securitate cibernetica, incidentul are o semnificatie aparte: CISA este tocmai institutia responsabila cu gestionarea catalogului de vulnerabilitati exploatate cunoscute si cu coordonarea raspunsului la atacuri cibernetice la nivel national. O bresa produsa din interior, de un contractor propriu, submineaza credibilitatea agentiei si ridica semne de intrebare despre capacitatea oricarei institutii de a se proteja impotriva amenintarilor interne.
