NASA je ve vážném ohrožení kvůli velké díře v zabezpečení. Agentura nedostatečně chrání důležité informace

Audit připravenosti NASA v oblasti informační bezpečnosti na vnitřní hrozby varoval, že NASA čelí vážnému ohrožení provozu kvůli nedostatečné ochraně neutajovaných informací, napsali na webu The Register.

Pondělní zpráva zjistila, že NASA si v souladu s požadavky vede dobře v úsilí o ochranu a prevenci vnitřních hrozeb pro utajované informace. NASA je definuje jako oficiální informace týkající se národní bezpečnosti, které byly označeny jako důvěrné, tajné nebo přísně tajné.

Zpráva zjistila, že agentura zavedla ochranné prostředky jako například monitorování činnosti uživatelů, přijala povinné školení o vnitřních hrozbách v rámci celé agentury a vytvořila referenční webovou stránku o vnitřních hrozbách, která pomáhá zaměstnancům a dodavatelům s identifikací hrozeb, jejich rizik a s následnými informacemi. Posilují se kontroly zadávání veřejných zakázek způsobem, který řeší rizika zahraničního vlivu.

Zpráva je sice spokojena s tím, že NASA si dobře poradila s ochranou svých utajovaných informací, ale zároveň konstatuje, že naprostá většina technologií NASA není utajována, včetně spousty vysoce cenných aktiv a kritické infrastruktury. Mezi tato aktiva patří citlivé a cenné informace, jako jsou vědecká, technická nebo výzkumná data, soubory týkající se lidských zdrojů nebo citlivé informace týkající se zadávání veřejných zakázek. Protože tato infrastruktura není utajovaná, nevztahuje se na ni program pro vnitřní hrozby.

NASA in ‚serious jeopardy‘ due to big black hole in security https://t.co/8SU3OGYr8n #news #cybersecurity #infosec pic.twitter.com/I5NzbYuoks

— DeepFriedCyber (@DeepFriedCyber) March 15, 2022

Je to poměrně znepokojující, protože v roce 2021 auditor NASA zjistil, že počet případů nesprávného používání IT systémů NASA vzrostl z 249 v roce 2017 na 1 103 v roce 2020, což představuje nárůst o 343 %. Nejčastější chybou bylo nechránění citlivých, ale neutajovaných informací (SBU).

Mezi pochybení, která auditoři zjistili, patřilo odesílání nešifrovaných e-mailů obsahujících údaje SBU, osobní identifikační údaje nebo údaje podle předpisů o mezinárodním obchodu se zbraněmi, z nichž každý by mohl agenturu vystavit riziku, které může ovlivnit národní bezpečnost, způsobit ztrátu duševního vlastnictví nebo ohrozit citlivé údaje zaměstnanců a dodavatelů.

Zpráva také zmiňuje, že za poslední tři roky podali uživatelé NASA více než 12 000 žádostí o zvýšená oprávnění, což je přesně to, co by mohlo vést k tomu, že se další informace dostanou do nesprávných rukou.

Situaci dále komplikuje skutečnost, že odpovědnost NASA za informační bezpečnost je rozdělena mezi různé týmy. Zpráva uvádí, že jiné americké vládní agentury již rozšířily svou obranu proti vnitřním hrozbám tak, aby zahrnovala i neutajované informace. Auditoři navrhují, že je načase, aby NASA učinila totéž.

Vedení NASA souhlasilo se závěry zprávy i s realizací doporučení a stanovilo termín pro jejich splnění na 1. prosinec 2023.

Zdroj: theregister.com