Бесплатно Экспресс-аудит сайта:

05.09.2020

Управление Генинспектора США недовольно IT-безопасностью НАСА

Управление Генерального инспектора США (Office of the Inspector General, OIG) осуществило проверку уровня безопасности IT-систем Национального управления по аэронавтике и исследованию космического пространства (НАСА) и сообщило о высоком риске информационных утечек. Проблема заключается в том, что сотрудники НАСА активно используют мобильные устройства не только для личных целей. Доступ с персональных устройств в сети агентства запрещен правилами, однако иногда встречаются исключения из правил и проверенным и одобренным смартфонам доступ к электронной почте НАСА разрешается.

Как сообщает OIG, в течение многих лет НАСА разрешало личным и партнерским IT-устройствам получать доступ к закрытым данным через свои сети и системы, даже если у этих устройств не было действующего разрешения.

В апреле 2018 года директор по информационным технологиям утвердил запрет на подключение подобных устройств к сетям НАСА, однако IT-отдел высказал свое недовольство подобным решением, поскольку столь жесткая политика мешает работе сотрудников. Данный конфликт был урегулирован в октябре того же года, и партнеры НАСА дальше могли получать доступ к закрытым сетям при условии установки ПО Mobile Device Management (MDM).

По результатам проверки OIG, предпринимаемые НАСА меры для обеспечения сетевой безопасности недостаточны и выполняются зачастую формально. Например, развертывание средств мониторинга сетевых подключений со стороны партнерских устройств не полностью предусматривает возможность отключения и блокировки их от сети. Внедрение системы было запланировано на декабрь 2019 года, однако постоянно откладывалось как по техническим причинам, так и из-за личных предпочтений IT-отдела НАСА.

Даже в настоящее время мониторинг и автоматическое применение правил безопасности не внедрены полностью. OIG признало данные НАСА находящимися под угрозой утечки, а сети — уязвимыми ко взлому. Инспекция также отметила неудовлетворительную координацию между центральным IT-отделом агентства.