Управление генерального инспектора НАСА (OIG) опубликовало результаты ежегодного аудита ИТ-систем агентства с точки зрения информационной безопасности. Общая оценка — «Неэффективно», сообщает The Register.
Обзор проводила фирма RMA Associates. Аналитики пришли к выводу, что ИТ-системы НАСА в период с 1 октября 2021 года по 30 сентября 2022 года не показали оптимального уровня безопасности ни по одному из девяти параметров, среди которых управление учётными данными, защита данных, управление рисками и другие.
Аудиторы отмечают, что у НАСА нет инструментов и данных для понимания расположения и состояния его ИТ-инфраструктуры, отсутствуют процессы для определения рисков и реагирования на них. Среди выводов документа также указано, что НАСА не идентифицирует все сетевые устройства, которыми оно управляет, и не ведёт их реестр. Агентство не проводило оценку персонала в области кибербезопасности с 2016 года и не в состоянии понять, есть ли у сотрудников навыки для надлежащей защиты.
Что касается предыдущего аудита, то в НАСА выполнили не все рекомендации по его результатам. Например, агентство не полностью внедрило рекомендуемые стандарты защиты данных и конфиденциальности, включая многофакторную аутентификацию. Обнаруженные недочёты ИТ-директору агентства придётся исправить до 17 ноября 2023 года.
НАСА постоянно получает низкие оценки своего уровня информационной безопасности. В 2019 году аудиторы пришли к выводу, что агентство не способно справляться с внутренними угрозами. Особенно верно это для отделов, которые занимаются малобюджетными миссиями и пытаются тратить каждый цент на научные проекты.
