В IT-инфраструктуре NASA творится бардак: инспекция снова выявила неудовлетворительный уровень информационной безопасности

Космические полёты и исследования — одна из самых наукоёмких отраслей человеческой деятельности, которая совершенно естественно использует и информационные технологии. Но если раньше, когда «компьютеры были большими», вопрос ИТ-безопасности не стоял, то сейчас, когда в том же NASA используется великое множество смартфонов, планшетов или ноутбуков, ситуация складывается иначе. И отчёт Управления Генеральной Инспекции (OIG) свидетельствует о высоком риске информационных утечек.

Стратегия NASA по обеспечению ИТ-безопасности

Причина такого риска проста: помимо собственной ИТ-инфраструктуры, сотрудники NASA, как, в общем-то, и везде в современном мире, активно пользуются мобильными устройствами и далеко не всегда исключительно для личных, не связанных с работой целей. Хотя доступ с личных устройств в сети агентства и запрещён правилами, но в этих правилах встречаются исключения и в некоторых случаях для проверенных и одобренных устройств доступ к email-системе NASA может быть разрешён.

Некоторые партнёры агентства, в зависимости от соглашения, также могут использовать собственные ИТ-устройства для доступа в коммерческие сегменты сетей NASA или даже в сегменты, связанные непосредственно с проводимыми космическими миссиями. Однако, как сообщает OIG, годами в NASA практиковался допуск в непубличную часть сетей с неавторизованных устройств, как личных, так и принадлежащих партнёрам агентства.

...однако внедрение ряда мер весьма запаздывает

Один из пиков конфликта пришёлся на апрель 2018 года, когда директор по информационным технологиям (Chief Information Officer) утвердил запрет на подключение подобных устройств к сетям NASA, обозначив их как «unauthorized devices». Однако сам ИТ-отдел отреагировал на это негативно, заявив, что столь строгая политика мешает работе. Конфликт был урегулирован в октябре того же года, и партнёры NASA всё-таки смогли получить доступ к закрытым сетям при условии установки программного обеспечения Mobile Device Management (MDM).

Но свежий отчет Управления Генеральной Инспекции, опубликованный конце лета, выявил, что меры, предпринимаемые NASA для обеспечения сетевой безопасности, недостаточны и выполняются зачастую формально. В частности, развёртывание средств мониторинга сетевых подключений со стороны устройств, агентству не принадлежащих, не полностью предусматривает возможность отключения и блокировки подозрительных устройств от сети. Полное развёртывание такой системы было запланировано на декабрь 2019 года, но с тех пор неоднократно откладывалось как по техническим причинам, так и из-за смены приоритетов в работе ИТ-отдела NASA.

Процесс использования MDM не назовёшь простым. Неудивительно, что он «мешает работе»

Мониторинг и автоматическое применение правил безопасности полностью не внедрены и сейчас, поскольку они даже не были запланированы изначально в проекте MDM. В итоге данные NASA, не предназначенные для публики, признаны находящимися под угрозой утечки, а сети признаны уязвимыми для взлома с целью внедрения вирусов, червей и прочего ПО подобного рода.

Хотя отчёт OIG и отмечает, что ситуация с кибербезопасностью в NASA улучшилась в сравнении с 2018 и 2019 годами, но также отмечается и неудовлетворительная координация между центральным ИТ-отделом агентства и его периферийными собратьями. Из-за этого необходимые средства обеспечения кибербезопасности внедряются крайне неравномерно и не всегда отвечают «требованиям на местах».

Рекомендации OIG довольно логичны, первым пунктом в них названа необходимость внедрения единой системы средств сетевой безопасности, мониторинга и блокировки несанкционированного доступа. Политику кибербезопасности NASA рекомендовано пересмотреть, определить единый набор правил и спецификаций MDM и привести всё в соответствии со стандартом NIST SP 800-124. Прислушается ли космическое агентство США к этим требованиям, неизвестно, поскольку случай подобной халатности не первый, и подобное небрежение ИТ-безопасностью отмечалось ещё около 10 лет назад. Полностью с отчётом можно ознакомиться по этой ссылке.

| Можете написать лучше? Мы всегда рады новым авторам.