Спецпроекты

В ИТ-сегменте NASA полный бардак: «Мы не знаем, кто подключен к нашим системам»

Безопасность Стратегия безопасности ИТ в госсекторе Маркет

NASA годами не может наладить безопасную работу своих ИТ-систем и ограничить возможность подключения к ним. В результате работники агентства и даже организаций-подрядчиков свободно подключаются к ним, что уже приводило к утечкам информации. Глава ИТ-отдела NASA хочет устранить все недочеты к концу 2021 г., но это не первая подобная попытка за последние несколько лет – предыдущие успехом не увенчались.

Уязвимое NASA

ИТ-системы Национального управления по воздухоплаванию и исследованию космического пространства США (National Aeronautics and Space Administration, NASA) на протяжении многих лет должным образом не контролируются на предмет подключенных к ним пользователей. Об этом стало известно из отчета генерального инспектора NASA Пола Мартина (Paul Martin) под названием “Audit of NASA’s policy and practices regarding the use of non-agency information technology devices” («Аудит использования в NASA неагентских ИТ-устройств»).

Автор отчета заявил, что Управление не осведомлено об общем количестве устройств, подключенных к его компьютерным сетям. Это относится как к гаджетам непосредственно работников агентства, так и к устройствам сотрудников подрядных организаций. В связи с отсутствием информации о подключенной к сетям персональных устройств ИТ-департамент не может закрыть им доступ к сетям, что повышает степень уязвимости NASA к кибератакам.

Многолетний хаос

Пол Мартин NASA подчеркнул, что подобная неразбериха с пользователями ИТ-систем Управления не возникла только что. Все это длится годами, хотя руководители ИТ-департамента неоднократно пытались найти выход из сложившейся ситуации.

В качестве примера одной из таких попыток он привел ситуацию с временным запретом на использование в NASA персональных устройств. Он был введен в начале апреля 2018 г. по требованию бывшего CIO (Chief Information Officer, ИТ-директор) Управления – Рене Винн (Renee Wynn). На тот момент нынешний исполняющий обязанности ИТ-директора Управления Джефф Ситон (Jeff Seaton) находился на должности ее заместителя – Рене Винн оставила свой пост 30 апреля 2018 г. по причине выхода на пенсию.

NASA в любой момент может стать жертвой утечки информации или хакерской атаки

Запрет на подключение к сетям NASA личных устройств сотрудников действовал всего полгода. В октябре 2018 г., когда ИТ-отдел Управления уже был под началом Ситона, было принято решение о его снятии – работники NASA вновь смогли подключаться к ИТ-системам организации, а также к корпоративной почте со своих гаджетов.

Ограничения не действуют

Отмена этих ограничений практически сразу привела к печальным последствиям. В отчете упоминаются два инцидента безопасности, причем произошел практически сразу же, в октябре 2018 г. Это была утечка данных, в результате которой данные о нынешних и бывших сотрудниках были украдены с сервера агентства,

Второй случай произошел в 2019 г. (точная дата в отчете отсутствует). Контрактный сотрудник Управления использовал свой персональный компьютер для майнинга криптовалюты через сеть NASA. По данным профильного ресурса Federal Computer Week, эти события не связаны напрямую с действующей политикой управления устройствами NASA.

Новые попытки

В мае 2020 г. в NASA в силу вступил в силу новый запрет. Джефф Ситон распорядился закрыть доступ к ИТ-системам NASA с личных гаджетов персонала, на которых были установлены устаревшие прошивки. Это коснулось даже корпоративной почты

На момент публикации материала не было известно, действует данный запрет до сих пор, или Ситон уже отменил его – эту информацию отчет инспектора не содержит.

Но даже если запрет не утратил свою актуальность, к сетям NASA по-прежнему подключены тысячи персональных устройств. По собственным подсчетам агентства, в настоящее время насчитывается почти 1300 личных гаджетов сотрудников, которые могут подключаться к корпоративной почтовой системе, основанной на облачном сервисе Microsoft 365.

Это значение весьма приближенное. По словам Джеффа Ситона, не существует «авторитетного источника» для подсчета подрядчиков и других принадлежащих партнерам устройств, которым разрешен доступ к сетям Управления.

Что касается устройств сотрудников подрядчиков NASA, то предполагалось, что к декабрю 2019 г. в распоряжении ведомства будет система контроля подключений таких гаджетов, но в итоге ее внедрение застопорилось, в том числе из-за технических сложностей.

Ситуация может измениться к лучшему

Джефф Ситон, резюмируя отчет главного инспектора агентства, заявил, что все рассмотренные в нем недостатки ИТ-системы NASA обязательно будут устранены. Для этого потребуются изменения в политике работы Управления, а также внедрение ряда специализированных технологических инструментов.

В подробности Ситон вдаваться не стал. Он отметил лишь, что устранение всех рисков должно быть завершено не позднее 15 декабря 2021 г.

ИТ-департаменту NASA не везет на руководителей

Следует отметить, не только Ситон пока не справляется с координацией деятельности вверенного ему подразделения. Это началось даже не с его предшественницы Рене Винн – к примеру, бывшая CIO NASA Линда Кьюртон (Linda Cureton), покинувшая Управление в начале апреля 2013 г., и вовсе была обвинена в некомпетентности. Однако ее случай связан не с безопасностью, а с финансами.

Как сообщал CNews, в июне 2013 г. Служба генерального инспектора NASA провела проверку в ИТ-департаменте космического агентства США, в ходе которой выяснилось, что бывшая CIO не сумела компетентно организовать управление ИТ-инфраструктурой организации. Проверяющие обнаружили, что в результате неэффективного контроля за расходами на ИТ федеральный бюджет ежегодно терял более миллиарда долларов.