ICT-beveiliging NASA lekt
NASA slaagt er niet in zijn ict-security op peil te houden, in het bijzonder voor de verschillende missie-projecten. In een verklaring geeft Paul Martin, inspecteur generaal van de NASA, toe dat zijn organisatie worstelt met ict-security. Zo ontbeert de cio van de NASA een totaalbeeld op de sleutelsystemen in de organisatie, omdat naast de ‘institutionele’ systemen (voor de werking van de NASA als instelling) heel veel ict-materiaal in het kader van ‘missies’ wordt aangeschaft. En helaas “kan de cio slechts in beperkte mate de NASA missiedirectoraten verplichten de door de cio aanbevolen en opgelegde it-security programma’s te implementeren.”
NASA slaagt er niet in zijn ict-security op peil te houden, in het bijzonder voor de verschillende missie-projecten.
In een verklaring geeft Paul Martin, inspecteur generaal van de NASA, toe dat zijn organisatie worstelt met ict-security. Zo ontbeert de cio van de NASA een totaalbeeld op de sleutelsystemen in de organisatie, omdat naast de ‘institutionele’ systemen (voor de werking van de NASA als instelling) heel veel ict-materiaal in het kader van ‘missies’ wordt aangeschaft. En helaas “kan de cio slechts in beperkte mate de NASA missiedirectoraten verplichten de door de cio aanbevolen en opgelegde it-security programma’s te implementeren.”
In een specifiek geval vond een audit dat slechts 24 procent van de systemen van een missieproject werden voorzien van kritieke patches, terwijl slechts 64 procent van de systemen werden opgevolgd inzake technische problemen. Voorts erkent Martin ook moeilijkheden bij het continu monitoren van de it-security, en wordt data op mobiele systemen onvoldoende beveiligd met encryptie. Concreet is dit een voorbeeld hoe de verantwoordelijke voor ict (en/of ict-security) onvoldoende kan en mag wegen op de reële werking van een organisatie (of bedrijf).
Toegankelijk zijn Nochtans is NASA een gewild aanvalsobject, met alleen al in 2010 en 2011 een 5.408 gemelde security-incidenten, door zowel individuen als criminelen, goed voor zowat 7 miljoen dollar aan kosten voor de NASA. Ook het verlies van materiaal is ernstig, zoals een notebook die in maart 2011 verloren ging en niet-versleutelde informatie over de algoritmen voor het operationeel beheer van het internationaal ruimtestation ISS. Het probleem bij dit laatste is niet zozeer het gevaar dat het ISS wordt ‘overgenomen’, dan wel het verlies aan intellectuele eigendom. NASA onderstreept overigens dat het sowieso een onderzoeksinstelling is, die op grote schaal toegankelijk moet en wil zijn voor de eigen medewerkers en onderzoekers van buitenaf. Een situatie waar ook heel wat bedrijven met externe medewerkers in toenemende mate mee te kampen hebben.
Overigens lijdt ook de NASA onder het algemene securityprobleem van steeds meer gesofisticeerde aanvallen. In 2011 betrof het al een 47 ‘advanced persistent threat’ aanvallen (langdurige en verdoken aanvallen), waarvan er 13 ‘succesvol’ waren. Voorts wordt de NASA ook vanuit de hele wereld ‘aangevallen’, met in de voorbije maanden arrestaties in onder meer Roemenië, China, Estland, Groot Brittannië, Estland en Rusland. Een andere uitdaging voor de toekomst is het implementeren bij de NASA van de richtlijnen van de Amerikaanse overheid betreffende de overstap naar een ‘cloud computing’ aanpak.
Nasa besteedt jaarlijks ca. 1,5 miljard dollar aan ict-materiaal en diensten, waarvan 58 miljoen dollar (3,9%) aan security, naast de ict-investeringen in missieprojecten.
Commerciële systemen
Het probleem van gekaapte satellieten is niet echt nieuw. Zo werd in de late jaren negentig al gerapporteerd over voorvallen waarin de sturing van satellieten werd beïnvloed (zoals een rapport over gemanipuleerde Britse militaire satellieten in 1999). Vaak betreft het hier grondapparatuur die onvoldoende werd afgeschermd tegen connecties vanuit de buitenwereld, vergelijkbaar met meer recente rapporten over aanvallen op SCADA-systemen (controlesystemen voor industriële installaties). In dat opzicht moet allicht meer worden gevreesd voor de gevolgen van aanvallen op organisaties van commerciële satellietcommunicatiesystemen, dan voor aanvallen op NASA.
Fout opgemerkt of meer nieuws? Meld het hier