Согласно аудиту, проведенному генеральным инспектором агентства, Федеральное агентство по финансированию жилищного строительства, небольшое независимое агентство, которому поручено осуществлять надзор за федеральными поставщиками ипотечных кредитов Fannie Mae и Fannie Mac, не смогло принять обязательные оперативные директивы Министерства внутренней безопасности по вопросам кибербезопасности. выпущен 31 августа.
В агентстве отсутствует задокументированный процесс или процедура для выполнения директив DHS, которые должны соблюдать федеральные агентства — что, как говорится в отчете, может привести к тому, что агентство будет реагировать «специально, реактивно».
Директор по информационной безопасности FHFA сообщил аудиторам, что они передают эти директивы соответствующим аналитикам для обработки, когда агентство их получает.
В отчете отмечается потенциальное влияние отсутствия задокументированного процесса, говорится, что «в отсутствие директора по информационной безопасности… персонал может не иметь определенных обязанностей по работе с советами директоров DHS, и необходимые действия могут не выполняться своевременно в ответ на советы директоров DHS. “
Из трех директив, рассмотренных генеральным инспектором, агентство полностью выполнило одну. Но наблюдательный орган обнаружил проблемы с требованием опубликовать политику раскрытия уязвимостей, а также с реализацией агентством стандартов безопасности веб-сайтов и электронной почты 2017 года под названием BOD-18-01. В отчете говорится, что хотя FHFA соответствует требованиям к электронной почте, он не отвечает всем требованиям веб-безопасности для общедоступных веб-сайтов.
«FHFA не настроила защищенное соединение для всех своих общедоступных веб-сайтов и веб-сервисов», — говорится в отчете. Это произошло «поскольку эти веб-сайты и веб-службы управлялись сторонним поставщиком и не находились под контролем FHFA».
В отчете говорится, что такой надзор как минимум за пятью из 43 веб-сайтов может поставить пользовательскую информацию под угрозу перехвата, отслеживания и т. д., а также подвергает системы FHFA риску так называемых атак «человек посередине».
FHFA сообщило в комментариях, включенных в отчет, что работает над устранением недостатков, обнаруженных в отчете.