NASAn tietojen rikkomisen kohokohdat Viraston kyberturvallisuusongelmat


NASAn tietojen rikkomisen kohokohdat Viraston kyberturvallisuusongelmat

NASAn tarkastusviraston raportit ovat varoittaneet ongelmista, jotka liittyvät viraston koko tietotekniikan hallintaan ja erityisesti kyberturvallisuuteen.

Luotto: NASA

WASHINGTON – verkkoratkaisu, joka on saattanut vaarantaa nykyisten ja entisten NASAn työntekijöiden tiedot, on vain viimeisin merkki jatkuvista tietoturvaongelmista, jotka ovat kärsineet virastosta vuosia.

NASA: n työntekijöiden 18.12. Muistiossa Bob Gibbs, henkilöstöpääoman hallinnon avustaja, totesi, että virasto tutki NASAn palvelimien "mahdollisia kompromisseja", jotka havaittiin ensimmäisen kerran lokakuussa. Nämä palvelimet, hän sanoi, tallentivat henkilökohtaisia ​​tietoja NASAn henkilöstöstä, mukaan lukien sosiaaliturvatunnukset. Muistio julkaistiin ensimmäisen kerran NASA Watchin kautta.

"NASA ja sen liittovaltion kyberturvallisuuskumppanit tutkivat edelleen palvelimia määrittelemään potentiaalisten tietojen suodatuksen laajuuden ja tunnistamaan mahdollisesti vaikuttavat henkilöt", Gibbs kirjoitti, sanomalla, että prosessi vie aikaa. "Käynnissä oleva tutkimus on ylimmän viraston prioriteetti, ja ylemmän tason johtajat ovat aktiivisesti mukana."

Tietosuojarikkomuksen laajuus on epäselvä, mutta Gibbs sanoi muistiossa, että se voi vaikuttaa sekä NASAn nykyisiin virkamiehiin että niihin, jotka ovat liittyneet tai poistuneet virastosta, tai siirretty keskusten välillä jo heinäkuussa 2006. Hän sanoi, että kun se tietää, kuka on kärsinyt, NASA ottaa heihin yhteyttä saadakseen lisätietoja, mukaan lukien henkilöllisyyden suojauspalvelut. NASAn operaatioiden toimintaan liittyviä järjestelmiä ei vaarannettu, hän lisäsi.

"Koko johtoryhmämme ottaa henkilötietojen suojaa erittäin vakavasti", Gibbs kirjoitti. "Tietoturva on edelleen NASAn ensisijainen tavoite."

NASA: n kyberturvallisuuspyrkimyksiä on kuitenkin kritisoinut vuosien ajan oma pääsihteeri (OIG), joka on todennut useissa raporteissa yleisen tietotekniikan (IT) hallinnan puutteita ja erityisesti turvallisuuskysymyksiä.

"OIG on todennut tarkastuksillaan, että NASA: n tietoturvaohjelmassa on järjestelmällisiä ja toistuvia heikkouksia, jotka vaikuttavat haitallisesti viraston kykyyn suojella sen tehtävän kannalta välttämättömiä tieto- ja tietojärjestelmiä", toimisto totesi viimeisimmässä puolivuotiskertomuksessaan, joka on päivätty lokakuussa 31.

Toukokuussa toimisto julkaisi NASAn turvallisuuspalvelukeskuksen (SOC), joka on Kaliforniassa perustetun Ames-tutkimuskeskuksen, tilintarkastus, joka perustettiin vuonna 2008 NASA: n tietojärjestelmien turvallisuusuhkien käsittelemiseksi. Tarkastuksessa havaittiin useita keskukseen liittyviä ongelmia, jotka vaihtelivat korkealta hallinnollisesta liikevaihdosta virallisen valtuuden puuttumiseen tietoturva-asioiden hallintaan joillakin viraston osilla.

"SOC: n perustamisesta lähtien SOC on jäänyt alkuperäisestä aikomuksestaan ​​toimia NASA: n kyberturvallisuushermoskeskuksena", tarkastaja totesi raportissaan. "Yhteenvetona voidaan todeta, että SOC: llä ei ole keskeisiä rakenteellisia elementtejä, jotka ovat välttämättömiä sen tietoturvallisuusvelvoitteiden täyttämiseksi."

NASA yhtyi raportin suosituksiin, kuten keskustan virallisen peruskirjan luomiseen ja keskuksen sopimuksen rakenteen muuttamiseen. Useimmissa tapauksissa NASA ei kuitenkaan arvioinut toteutuksensa loppuun saattamista vasta ensi vuonna.

Tarkastajan yleiskatsauksen lokakuussa 2017 laatima raportti viraston tietotekniikan hallintakysymyksistä herätti myös huolta, kun NASA: n tietohallintoviraston rajallinen oivallus otettiin huomioon tietotekniikkajärjestelmissä, joita rahoittavat ja hallinnoivat lähinnä kenttäkeskukset ja lähetysosastot. "Viranomaisen ja näkyvyyden puute suurimmalla osalla IT-budjetista rajoittaa viraston kykyä yhdistää tietotekniikkakustannukset, toteuttaa kustannussäästöjä ja parantaa tietotekniikkapalvelujen toimittamista", raportti päättyi.

Nämä ongelmat ulottuvat kyberturvallisuuteen. "Turvallisuusrooleista johtuva sekaannus ja huono tietotekniikkavarastokäytäntö vaikuttavat edelleen negatiivisesti NASAn turvallisuusasentoon", totesi raportti.

Vuoden 2017 kertomuksessa suositeltiin muun muassa, että NASA antaa virallisesta tietoturvasta vastaavalle virastolle virallisesti tietoturvavastaavalta (SAISO) viralliselta tietoturvasta vastaavan virkamiehen enemmän valtuuksia hallita keskusten ja lähetysosastojen ylläpitämien järjestelmien tietoturvaa.

NASA hyväksyi vain osittain tämän suosituksen, jossa todettiin, että se "on eri mieltä siitä, että hajautetut vastuualueet heikentävät implisiittisesti SAISOn kantaa", joka väittää, että sillä on "täysin valtuudet NASAn kyberturvallisuuteen".

Tämän kertomuksen toimittivat SpaceNews, joka on tarkoitettu kattamaan kaikki avaruusalan näkökohdat.