Космические полёты и исследования — одна из самых наукоёмких отраслей человеческой деятельности, которая совершенно естественно использует и информационные технологии. Но если раньше, когда «компьютеры были большими», вопрос ИТ-безопасности не стоял, то сейчас, когда в том же NASA используется великое множество смартфонов, планшетов или ноутбуков, ситуация складывается иначе. И отчёт Управления Генеральной Инспекции (OIG) свидетельствует о высоком риске информационных утечек.
Причина такого риска проста: помимо собственной ИТ-инфраструктуры, сотрудники NASA, как, в общем-то, и везде в современном мире, активно пользуются мобильными устройствами и далеко не всегда исключительно для личных, не связанных с работой целей. Хотя доступ с личных устройств в сети агентства и запрещён правилами, но в этих правилах встречаются исключения и в некоторых случаях для проверенных и одобренных устройств доступ к email-системе NASA может быть разрешён.
Некоторые партнёры агентства, в зависимости от соглашения, также могут использовать собственные ИТ-устройства для доступа в коммерческие сегменты сетей NASA или даже в сегменты, связанные непосредственно с проводимыми космическими миссиями. Однако, как сообщает OIG, годами в NASA практиковался допуск в непубличную часть сетей с неавторизованных устройств, как личных, так и принадлежащих партнёрам агентства.
Один из пиков конфликта пришёлся на апрель 2018 года, когда директор по информационным технологиям (Chief Information Officer) утвердил запрет на подключение подобных устройств к сетям NASA, обозначив их как «unauthorized devices». Однако сам ИТ-отдел отреагировал на это негативно, заявив, что столь строгая политика мешает работе. Конфликт был урегулирован в октябре того же года, и партнёры NASA всё-таки смогли получить доступ к закрытым сетям при условии установки программного обеспечения Mobile Device Management (MDM).
Но свежий отчет Управления Генеральной Инспекции, опубликованный конце лета, выявил, что меры, предпринимаемые NASA для обеспечения сетевой безопасности, недостаточны и выполняются зачастую формально. В частности, развёртывание средств мониторинга сетевых подключений со стороны устройств, агентству не принадлежащих, не полностью предусматривает возможность отключения и блокировки подозрительных устройств от сети. Полное развёртывание такой системы было запланировано на декабрь 2019 года, но с тех пор неоднократно откладывалось как по техническим причинам, так и из-за смены приоритетов в работе ИТ-отдела NASA.
Мониторинг и автоматическое применение правил безопасности полностью не внедрены и сейчас, поскольку они даже не были запланированы изначально в проекте MDM. В итоге данные NASA, не предназначенные для публики, признаны находящимися под угрозой утечки, а сети признаны уязвимыми для взлома с целью внедрения вирусов, червей и прочего ПО подобного рода.
Хотя отчёт OIG и отмечает, что ситуация с кибербезопасностью в NASA улучшилась в сравнении с 2018 и 2019 годами, но также отмечается и неудовлетворительная координация между центральным ИТ-отделом агентства и его периферийными собратьями. Из-за этого необходимые средства обеспечения кибербезопасности внедряются крайне неравномерно и не всегда отвечают «требованиям на местах».
Рекомендации OIG довольно логичны, первым пунктом в них названа необходимость внедрения единой системы средств сетевой безопасности, мониторинга и блокировки несанкционированного доступа. Политику кибербезопасности NASA рекомендовано пересмотреть, определить единый набор правил и спецификаций MDM и привести всё в соответствии со стандартом NIST SP 800-124. Прислушается ли космическое агентство США к этим требованиям, неизвестно, поскольку случай подобной халатности не первый, и подобное небрежение ИТ-безопасностью отмечалось ещё около 10 лет назад. Полностью с отчётом можно ознакомиться по этой ссылке.