NASAのジェット推進研究所には、今年初めの警告にもかかわらず、依然として「複数のITセキュリティ管理上の弱点」があり、「システムとデータがサイバー犯罪者に悪用される可能性がある」状態となっている。
NASA全体がサイバーセキュリティ問題を抱えていると警告する3月の強い文面の書簡を受けて、NASA監察総監室(OIG)は詳細な報告書(PDF)を公開した。
調査結果は芳しくない。JPLの内部インベントリデータベースは「不完全かつ不正確」であり、「ネットワークに接続されたデバイスの可視性が低下している」ため、「セキュリティインシデントの監視、報告、対応」能力が低下している。
ヒューストン、問題が発生しました。NASAは内部サーバーがハッキングされ、職員の個人情報が悪意のある人物に盗まれたのではないかと懸念しています。
続きを読む
あるシステム管理者は検査官に対し、同庁の公式IT技術セキュリティデータベースシステムと並行して独自のスプレッドシートを管理していると述べ、「データベースの更新機能が時々機能しないため」だと語った。
2018 年 4 月のサイバー攻撃では、まさにこの脆弱性が悪用され、外部の攻撃者が無許可の Raspberry Pi を標的にしました。
JPLとパートナー機関が使用する共有IT環境間の主要ネットワークゲートウェイは、「ユーザーがアクセスを許可されたシステムとアプリケーションのみにアクセスを制限するよう適切にセグメント化されていなかった」。さらに、JPLのスタッフがセキュリティヘルプデスクにチケットを発行しても、解決までに最大6か月かかるものもあった。これは、「JPLネットワークをサイバー攻撃の悪用にさらされる、時代遅れのセキュリティ対策」がそのまま残されている可能性を示唆している。
報告書によると、訪問時点では、深刻度スコアが最大10のチケットが666件以上オープン状態だった。合計で5,000件以上がオープン状態だった。
実際、昨年12月にはNASA全体がサイバー攻撃を受けました。2006年から2018年にかけてNASAで勤務していた職員の機密性の高い個人情報がプログラムのサーバーから流出し、NASAが被害を受けた職員にその事実を伝えるまで2ヶ月もかかりました。
さらに悪いことに、JPLは国家レベルの敵対勢力にとって明らかに魅力的であるにもかかわらず、積極的な脅威ハンティングプロセスを備えておらず、インシデント対応訓練は「NASAや推奨される業界慣行から逸脱している」。JPL自体はNASA内でサイロのように機能しているようで、OIGは「NASA職員はJPLのインシデント管理システムにアクセスできなかった」と述べている。
おそらくこの報告書は、NASA 全体、特に JPL がその行動を強化する必要があることを示す警鐘となるでしょう。®
