Wanneer Legacy-stelsels misluk: Lesse uit die Federale Howe se Oortreding

Wanneer Legacy-stelsels misluk: Lesse uit die Federale Hof se Oortreding

Deur Danny Bradbury • 23 September 2025

Kuber-aanvalle gebeur elke dag, maar sommige is veral ontstellend. 'n Aanval hierdie somer op die Amerikaanse hofstelsel moes rillings oor elke ruggraat laat loop het.

Op 7 Augustus het amptenare bevestig 'n aanval op die federale regbank van die Verenigde State. Die aanvallers het veral die hofliasseerstelsel, Case Management/Electronic Case Files (CM/ECF), ook bekend as die publieke koppelvlak PACER, aangeval. Die New York Times het gesê dat die aanval, wat tussen laat Junie en vroeg 4 Julie vanjaar plaasgevind het, waarskynlik gekoppel was aan Russiese staatsakteurs.

Die gevolge is beduidend. Terwyl baie saaklêers oor CM/ECF publiek beskikbaar is via PACER, is baie ander verseël omdat hulle sensitiewe inligting bevat. Dit lyk asof die aanvallers gesoek het na sake waarby Russiese burgers betrokke was.

Die voorval het die howe in wanorde gebring, en howe is gedwing om terug te keer na papierliasseerstelsels. Ten minste een regter het selfs die oplaai van verseëlde dokumente na PACER verbied. Sensitiewe sake moes na losstaande stelsels gemigreer word.

Nog meer kommerwekkend is die suggestie dat Meksikaanse dwelmkartelle mag dalk toegang hê tot sommige van hierdie sensitiewe data, wat moontlik getuies aan hul misdade blootstel. Bendemisdaad wat met die kartelle verband hou, word dikwels op distrikshofvlak verwerk, wat beteken dat sensitiewe saaklêers in CM/ECF geleë is.

Die ergste hiervan is dat 'n mengsel van gedesentraliseerde implementering en ou, nalatenskaplike kode te blameer is.

CM/ECF dateer terug na die laat 1990's, toe die Noordelike Distrik van Ohio het dit gebou om 'n vlaag bevindinge in sommige asbesake te bestuur. Toe het ander howe dit in die vroeë 2000's begin aanneem, toe 'n nasionale bekendstelling bankrotskap-, distrik- en appèlhowe dit ook geïmplementeer het. Teen 2007 was die aanvaarding meestal universeel, maar die bestuur was stuksgewys; elke hof het sy eie implementering van die sagteware hanteer. Toe die Administratiewe Kantoor van die Amerikaanse Howe 'n groot hersiening bekend as NexGen in die 2010's vrygestel het, het nie almal opgedateer nie.

In 'n 2021 verslag Op die stelsel het personeel van die Administratiewe Kantoor gekla dat meer as 50 howe nie na die nuwe stelsel oorgeskakel het nie. Die verslag het verouderde fundamentele tegnologie betreur. “Desentralisasie en kompleksiteit veroorsaak stelselonstabiliteit, hoë onderhoudskoste en sekuriteitsrisiko's,” het dit gewaarsku. “Huidige kontrakte maak dit moeilik om kontrakteurs aanspreeklik te hou vir kwaliteitsstandaarde.”

Die probleem duur voort, en die gevolge was rampspoedig. Die Departement van die Regbank ook berig 'n oortreding in 2021, wat later aan die lig gekom het dat dit drie buitelandse akteurs betrek het.

Die probleem van ou sagteware

Hierdie probleem met ou sagteware is wydverspreid. opname Hierdie jaar het die maatskappy Saritasa, 'n sagtewaremaatskappy vir ouer migrasiesagteware, onthul dat 62% van sy 500 respondente steeds op ouer stelsels staatgemaak het. IT moet altyd met ander departemente meeding om 'n gedeelte van die begroting. Wanneer die tegnoloë dit kry, moet hulle versigtig wees om die afbetaling van tegniese skuld te balanseer met die maak van nuwe sagteware- en hardewareverbeterings wat die besigheidsborge tevrede stel. Elke dollar wat bestee word aan die herstel van ou stelsels, moet uit die korporatiewe beursie geneem word.

Gedesentraliseerde IT-bestuur skep ook blinde kolle, veral wanneer dit aan ou sagteware gekoppel word. Dit laat baie sagtewareprodukte sonder kolle. Dit maak dit ook moeiliker om te verstaan wat op die IT-infrastruktuur loop en dit aan sekuriteitsbeleide te koppel. Skadu-IT is die gevolg, en dit bring nog meer risiko mee.

Die federale hofstelsel is nie die enigste een wat sommige van hierdie probleme toon nie. In 2019 het die Government Accountablity Office (GAO) 'n verslag gepubliseer wat 'n voortgesette gebrek aan aandag aan nalatenskapstelsels in die Amerikaanse regering beklemtoon. In die Verenigde Koninkryk het die regering klassifiseer 28% van sy IT-infrastruktuur as nalatenskap, wat in sommige gebiede tot 70% styg.

Tem die nalatenskapdier

Daar is maniere om beheer oor jou IT-infrastruktuur terug te neem en ten minste die risiko's van ouer argitekture te verstaan, selfs al kan jy dit nie heeltemal uitwis nie. Dit is waar 'n inligtingsekuriteitsbestuurstelsel (ISMS) soos ISO 27001 nuttig is.

ISO 27001:2022 Aanhangsel A Beheer 5.9 handel oor die bestuur van inligtingsbates, om te verseker dat die organisasie behoorlik dokumenteer wie verantwoordelik is vir elke bate in die organisasie, en om die risiko's wat daarmee gepaardgaan, uiteen te sit. Dit vereis 'n inventaris van bates om hierdie doel te ondersteun, en skep 'n platform vir besighede om hul aktiwiteite daaromheen te organiseer. Jy kan byvoorbeeld die huidige opdateringsvlakke wat met enige bate geassosieer word, dokumenteer.

Hierdie inventaris van bates is 'n goeie fondament om 'n tegniese skuldafbetalingsprogram te loods. Deur stelsels te prioritiseer om op te laai, op te gradeer of te vervang op grond van hul risikofaktor, gee hulpbronbeperkte spanne 'n duidelike plan van aksie. Jy kan dit ook gebruik om bestuursstrukture te skep rondom daardie platforms wat nie kliëntgerig is nie, maar wat hoëwaarde, laeprofielinligting bevat. Daardie swak beskermde kroonjuwele is presies die bates wat aanvallers sal agtervolg.

Dan kom die migrasiebespreking, wat uiteensit hoe om van 'n ou stelsel na 'n nuwe een te migreer. Dit verg deeglike denke wat stelselafhanklikhede in ag neem. Herstrukturering (die hernuwing van kode in die bestaande stelsel) is een opsie, asook vervanging (die stelsel heeltemal uitruk en weer begin). Laasgenoemde opsie skep meer geleenthede om van problematiese argitekture soos monolitiese stelsels na meer modulêre, mikrodienste-gebaseerde kode oor te skakel.

Ander maatreëls om te help om nalatenskaprisiko te hanteer, sluit in die uitvoering van gereelde bedreigingsmodelleringsoefeninge om daardie onsigbare nalatenskapinfrastruktuur te verken waarna niemand ooit kyk nie, soos interne portale of kontrakplatforms.

Om jou ou argitektuur in vorm te kry, is nie iets wat jy tot môre moet uitstel nie. Dis baie soos fisiese gesondheid. Elke dag wat uitgestel word, kan probleme in die toekoms skep. 'n Bietjie moeite nou – selfs 'n klein gereelde maandelikse poging om te moderniseer – kan 'n ramp in die toekoms afweer. Vra maar enige distriksregter.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 23 Oktober 2025

waarom die ftc se kletsbot-ondersoek b2b-maatskappye moet bekommer

Waarom die FTC se Chatbot-ondersoek B2B-maatskappye moet bekommer

September was 'n keerpunt vir voorstanders van KI-etiek. Die FTC het Artikel 6(b)-bevele uitgereik aan sewe groot tegnologiemaatskappye wat kletsbotte vervaardig...

Danny Bradbury

cyber Security 7 Oktober 2025

Veilige Hawe-oorsig beteken sake soos gewoonlik – vir nou

September was 'n keerpuntmaand vir maatskappye in Europa wat data met die VSA wou deel. Die Algemene Hof van die Europese Unie het 'n beswaar verwerp...

Danny Bradbury

cyber Security 9 September 2025

Wat die Amerikaanse KI-aksieplan beteken

Die Withuis het in Julie 'n omvattende KI-aksieplan onthul wat Amerika se benadering tot die bestuur van KI hervorm. Dit is 'n groot verandering van die...

Danny Bradbury