Сети NASA оказались уязвимыми для кибератак

Управление генерального инспектора НАСА (OIG) опубликовало свой ежегодный аудит возможностей и практики НАСА в области информационной безопасности, который получил общую оценку «Неэффективно».

Обзор был проведен бухгалтерской фирмой RMA Associates с использованием стандартов качества 5-ти уровней зрелости информационной безопасности.

1. Ad Hoc (начальный);
2. Consistently Implemented (повторяемый);
3. Defined (определенный);
4. Managed and Measurable (управляемый и измеримый);
5. Optimized (оптимизируемый).

Уровень 4 считается эталоном эффективной программы кибербезопасности. Согласно аудиту, НАСА не достигло этого уровня ни по одной из 9-ти измеренных возможностей за период с 1 октября 2021 года по 30 сентября 2022 года.

Аудит приписывает низкий рейтинг НАСА, поскольку у агентства просто нет инструментов или данных для понимания расположения и состояния его IT-инфраструктуры, а также отсутствуют процессы для определения рисков или реагирования на них.

НАСА не может идентифицировать и записывать все сетевые устройства, которыми оно управляет. Чтобы решить эту проблему, были приняты ручные процессы. Агентство не проводило оценку знаний кибербезопасности персонала с 2016 года.

Организация не внедрила рекомендуемые стандарты защиты данных и конфиденциальности, поэтому её сеть уязвима. Более того, не внедрена многофакторная аутентификация (МФА), а система управления рисками цепочки поставок еще не разработана.

IT-директору агентства был предоставлен список из 17 рекомендуемых действий. НАСА пообещала исправить защиту до 17 ноября 2023 года.