NASA 監察総監室 (OIG) は、同航空宇宙機関の情報セキュリティ能力と実践に関する年次監査結果を公表し、総合評価は「効果的ではない」となった。
このレビューは、会計事務所 RMA Associates が、誠実性と効率性に関する監察総監評議会の検査および評価の品質基準と、情報セキュリティの成熟度を 5 段階に定義する 2014 年連邦情報セキュリティ近代化法に明記された報告指標を使用して実施しました。
- このために
- 定義
- 一貫して実装
- 管理され、測定可能
- 最適化されました。
レベル4(管理され、測定可能)は、効果的な情報セキュリティプログラムのベンチマークと考えられています。下のグラフが示すように、NASAは2021年10月1日から2022年9月30日までの期間において、測定された9つの能力のいずれにおいてもこのレベルに達しませんでした。
NASAの2022年度情報セキュリティ成熟度 – クリックして拡大
監査では、NASA の評価が低いのは、同機関が IT インフラの配置や状態を把握するためのツールやデータを持っておらず、リスクを定義したり対応したりするためのプロセスが欠如していることが原因であるとしている。
文書の調査結果の一つに、NASAが運用するネットワーク機器の全てを識別・記録できていないことが挙げられる。この問題を解決するために、手動のプロセスが導入された。NASAは2016年以降、サイバーセキュリティ人材の評価を実施しておらず、適切な自己防衛に必要なスキルを備えているかどうかを把握する立場にない。
組織は推奨されるデータ保護およびプライバシー基準を導入していないため、体制に盲点があります。多要素認証は普遍的ではありません。サプライチェーンのリスク管理体制はまだ成熟していません。
当局のインシデント対応プロセスは成熟しているが、レベル 4 の評価を得るには「追加の制御とプロセスを設計して実装する必要がある」。
まだ続けることもできますが、要するに、NASA の情報セキュリティはそれほど優れていないということです。
- NASAの最新AIはランドマークを使って月を航行する
- NASAの火星探査機インサイトが(おそらく)最後の画像をアップロードし、ツイートで共有した。
- 暖かくなってきています:NASAの熱モルが火星の活発なマントルプルームを明らかに
- オリオン座は、遠い逆行軌道に向けて月と「自撮り」を撮影した。
- 見てください!空を見上げてください!地球にエネルギーを送る衛星の概念実証です!
そのため、NASAのCIOには17の推奨措置のリストが提示されました。NASAは大部分の項目に同意しており、監査への回答書簡の中で、各項目の完了予定日を2023年11月17日としました。
NASAは昨年の情報セキュリティ監査で示されたすべての勧告に基づき、1つを除いてすべて解決したようだ。しかし、NASAの会計年度は10月1日に始まるため、11月17日の締め切りまでに、2022/23年度の監査にはより厳しい内容が含まれる可能性がある。
NASA は、情報セキュリティの評価で一貫して低い評価を受けています。同機関は 2019 年にもレベル 2 の評価を受けており、今年初めには内部脅威への対応準備ができていないことが判明し、低予算ミッションでは科学研究にすべての資金を費やそうとするため情報セキュリティについてほとんど考慮されていないことが判明しました。
NASA が広範囲にわたる共有サービスを運用し、サイバー犯罪者が防御の弱い場所に着陸して可能な限り拡散することを好むことを考えると、これは高潔ではあるが恐ろしいことです。
NASA が多くの秘密プロジェクトに取り組んでいることを考えると、この機関の根深い未熟さは明らかに非常に厄介な結果をもたらす可能性があります。®
