У агентства просто нет инструментов для оценки состояния IT-инфраструктуры.
Управление генерального инспектора НАСА (OIG) опубликовало свой ежегодный аудит возможностей и практики НАСА в области информационной безопасности, который получил общую оценку «Неэффективно».
Обзор был проведен бухгалтерской фирмой RMA Associates с использованием стандартов качества 5-ти уровней зрелости информационной безопасности.
- Ad Hoc (начальный);
- Consistently Implemented (повторяемый);
- Defined (определенный);
- Managed and Measurable (управляемый и измеримый);
- Optimized (оптимизируемый).
Уровень 4 считается эталоном эффективной программы кибербезопасности. Согласно аудиту, НАСА не достигло этого уровня ни по одной из 9-ти измеренных возможностей за период с 1 октября 2021 года по 30 сентября 2022 года.
.png)
Аудит приписывает низкий рейтинг НАСА, поскольку у агентства просто нет инструментов или данных для понимания расположения и состояния его IT-инфраструктуры, а также отсутствуют процессы для определения рисков или реагирования на них.
НАСА не может идентифицировать и записывать все сетевые устройства, которыми оно управляет. Чтобы решить эту проблему, были приняты ручные процессы. Агентство не проводило оценку знаний кибербезопасности персонала с 2016 года.
Организация не внедрила рекомендуемые стандарты защиты данных и конфиденциальности, поэтому её сеть уязвима. Более того, не внедрена многофакторная аутентификация (МФА), а система управления рисками цепочки поставок еще не разработана.
IT-директору агентства был предоставлен список из 17 рекомендуемых действий. НАСА пообещала исправить защиту до 17 ноября 2023 года.