Gestolen en standaard wachtwoorden en phishing zijn de zwakke plekken van overheidsinstanties. Dat oordeelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security op basis van eigen onderzoek (pdf). Het cyberagentschap voerde vorig jaar samen met de Amerikaanse kustwacht (USCG) 143 beveiligingstests uit bij federale overheidsinstanties.

'Valid accounts', een overkoepelende term, waar onder andere gestolen, gekraakte en standaard wachtwoorden onder vallen, was verantwoordelijk voor 41 procent van de succesvolle pogingen om toegang tot een organisatie te krijgen. Zo was het kraken van wachtwoordhashes in 89 procent van de tests die de USCG uitvoerde succesvol om toegang tot Domain Administrator accounts te krijgen. Valid accounts zijn bijvoorbeeld ook accounts van voormalige medewerkers die nog steeds actief zijn. Zo ontdekte de kustwacht die bij het uitvoeren van de beveiligingstests betrokken was dat bijna 95 procent van de onderzochte overheidsinstanties gebruikmaakte van standaard wachtwoorden.

Op de tweede plek met meer dan 26 procent volgen phishing of spearphishing, aldus het CISA. Naast de bevindingen van de beveiligingstests doet het CISA ook verschillende aanbevelingen, zoals het implementeren van sterk wachtwoordbeleid en phishingbestendige multifactorauthenticatie (MFA). Ook wordt aangeraden om logbestanden te monitoren om zo verdachte inlogpogingen te detecteren. Vervolgens moet er snel op verdachte activiteiten worden gereageerd.