Бесплатно Экспресс-аудит сайта:

27.09.2022

США усиливает системы ядерного оружия

Согласно новому отчету, Национальное управление по ядерной безопасности (NNSA) и его подрядчики стали чаще использовать передовые компьютеры и цифровые системы для:

  • интеграции информационных систем в ядерное оружие;
  • автоматизации производственного оборудования;
  • компьютерного моделирования при разработке оружия.

Поэтому NNSA необходимо внедрить управление рисками кибербезопасности, поскольку эти системы могут стать мишенями кибератак.

В отчете Счетной палаты США (GAO) отмечается, что федеральный закон и политика определяют 6 методов для программы управления кибербезопасностью:

  • назначить роли и обязанности в области кибербезопасности;
  • разработать стратегию управления рисками кибербезопасности для организации;
  • поддерживать политику и планы программы кибербезопасности;
  • оценивать риски кибербезопасности всей организации;
  • назначить элементы управления IT-системами или программами;
  • проводить постоянный мониторинг рисков в организации.

По словам GAO, NNSA не полностью внедрило методы кибербезопасности в своих операционных технологиях и IT-системах ядерного оружия, и все еще находится в процессе создания руководств для подрядчиков, поскольку агентство все еще выясняет ресурсы, необходимые для внедрения ключевых практик и разработки руководств.

В отчете отмечается, что в традиционной IT-среде, которая включает в себя компьютерные системы для проектирования оружия, NNSA полностью реализовала 4 из 6 методов. А подрядчики внедрили только 3 метода. В частности, как агентство, так и его подрядчики не полностью внедрили стратегию непрерывного мониторинга, что не позволяет им иметь полное представление о состоянии кибербезопасности.

Также NNSA и его подрядчики используют субподрядчиков, но надзор за кибербезопасностью субподрядчиков осуществляется непоследовательно. Подрядчики обязаны контролировать состояние кибербезопасности субподрядчиков (в соответствии с директивой NNSA), но на практике подрядчики не осуществляли должный контроль над киберзащитой. Более того, 3 из 7 подрядчиков считают, что они не обязаны это делать по контракту. Поэтому у субподрядчиков отсутствует надлежащая защита конфиденциальной информации.

Счетная палата США разработала 9 рекомендаций для NNSA. В том числе:

  • внедрить стратегию непрерывного мониторинга кибербезопасности;
  • определить ресурсы, необходимые для операционных процессов;
  • делегировать роли и обязанности по управлению рисками;
  • разработать стратегию риска ядерного оружия;
  • усилить надзор и мониторинг кибербезопасности субподрядчиков.