Недооцененная угроза
Государственный аудит Национального управления США по аэронавтике и исследованию космического пространства (NASA) показал, что у организации есть проблемы с надежностью хранения несекретной информации. Это, по мнению аудиторов, ставит под угрозу некоторые операции ведомства.
Засекреченная информация, как указывают аудиторы, хранится надежно. Все, что непосредственно относится к вопросам национальной безопасности и помечено грифами «Конфиденциально», «Секретно» и «Совершенно секретно», защищено в том числе от инсайдерских угроз. В NASA реализованы мониторинг деятельности сотрудников, проводятся тренинги по борьбе с инсайдерскими угрозами, а также создан специальный сайт, который призван помочь работникам и подрядчикам в выявлении угроз и рисков.
Однако более чем значительная часть технологической информации в NASA не является засекреченной. Это касается многих «высокозначимых активов и критической инфраструктуры», в том числе научных, инженерных и исследовательских данных, информации о сотрудниках и сведений о материально-техническом снабжении.
Все эти данные действующая в NASA программа защиты от инсайдерских угроз не покрывает, указывается в результатах аудиторской проверки.
Аудиторы NASA выявили проблемы с хранением несекретных данных
Аудиторы выявили более чем троекратный рост «случаев неправомерного использования ИТ-систем NASA» между 2017 и 2020 гг. Количество таких инцидентов выросло с 249 до 1103. В частности, по незащищенным каналам передавались «значимые, но не секретные» сведения, персональные данные и другая информация, которая могла подвергнуть организацию рискам вплоть до угроз национальной безопасности, потери интеллектуальной собственности и компрометации личных данных сотрудников и подрядчиков.
В то же время сотрудники NASA подали за три года 12 тыс. запросов о повышении привилегий для получения тех или иных сведений, что также может способствовать их утечке, утверждают аудиторы.
Сергей Мелихов, Greensight: Открытая ИТ-система позволяет каждому создать свою e-commerce платформу Бизнес
Руководство NASA признало выводы аудиторов и пообещало принять необходимые меры до 1 декабря 2023 г.
Неразбериха в структуре защиты
Главной проблемой, по мнению экспертов, является то, что обязанности по обеспечению защиты информации распределены сразу по нескольким департаментам, каждый из которых занимается только своим узким сегментом и не имеет полномочий на мониторинг данных, которые в него не входят.
В других госучреждениях США защита от инсайдерских угроз распространена уже и на секретные, и на несекретные данные. В NASA это еще только предстоит реализовать.
«Инсайдерские угрозы — одна из самых проблемных сфер информбезопасности, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Для успешного противодействия им нужен комплексный подход, не исчерпываемый техническими инструментами, хотя без них тоже не обойтись. Учитывая специфику работы NASA, можно сказать, что одинаковому уровню защиты подлежат любые значимые данные, вне зависимости от их секретности. Просто потому, что даже несекретные данные могут быть использованы во вред».
