ฟัง Jason Miller บน Federal Drive กับ Tom Teminเครื่องเล่นเสียงใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงติดตามข่าวสารล่าสุดของรัฐบาลกลาง ลงทะเบียนเพื่อรับการแจ้งเตือนทางอีเมลข่าวด่วนของเราหน่วยงานของรัฐบาลกลางที่ได้รับการป่าวประกาศมากที่สุดกำลังตกอยู่ในความเสี่ยงร้ายแรงที่จะถูกโจมตีทางไซเบอร์ครั้งใหญ่และดูเหมือนจะไม่มีใครสนใจ
ไม่ใช่ผู้บริหารของนาซ่า ไม่ใช่ผู้รับเหมาที่ได้รับการว่าจ้าง
ให้ปกป้องอุปกรณ์ของผู้ใช้ปลายทาง และโดยเฉพาะอย่างยิ่งไม่ใช่พนักงานรายวันที่ส่งจรวดขึ้นสู่อวกาศ
เอกสารภายในที่ได้รับจาก Federal News Radio ระบุว่า NASA มีแพตช์ที่ล้าสมัยตั้งแต่หลายแสนไปจนถึงหลายล้านในทุกศูนย์ทั่วประเทศ
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
Security Scorecard ซึ่งเป็นบริษัทด้านความปลอดภัยในโลกไซเบอร์พบการ Ping มากถึง 10,000 ครั้งที่มาจากเครือข่ายของ NASA ไปยังโฮสต์ของมัลแวร์ที่รู้จักโดยตรง บางครั้งอาจกินเวลาหลายสัปดาห์หรือหลายเดือน
แหล่งข่าวหลายแห่งกล่าวว่า Hewlett Packard Enterprise (HPE) ซึ่งเป็นผู้รับเหมาที่ได้รับการว่าจ้างให้ปกป้องเดสก์ท็อปและอุปกรณ์ของผู้ใช้ปลายทางของ NASA ภายใต้สัญญามูลค่า 2.5 พันล้านดอลลาร์ที่เรียกว่าAgency Consolidated End-user Services (ACES) นั้นไม่ให้ความร่วมมืออย่างดีที่สุดและประมาทเลินเล่ออย่างที่สุด และ สาเหตุหลักที่ทำให้ข้อมูลและระบบของหน่วยงานมีความเสี่ยง
แหล่งข่าวของ NASA คนหนึ่งกล่าวว่าการละเมิดที่เกิดขึ้นโดยสำนักงาน
บริหารงานบุคคลและการวิ่งทางไซเบอร์ของสำนักงานการจัดการและงบประมาณไม่ได้ทำหน้าที่ปลุกให้หน่วยงานอวกาศตื่นขึ้นและความปลอดภัยทางไซเบอร์ยังคงเป็นปัญหาร้ายแรง
“HPE ยอมรับว่าไม่มีทรัพยากรที่จะติดตามแพตช์ และสิ่งนี้เกิดขึ้นตั้งแต่มีการทำสัญญาเมื่อหลายปีก่อน” — เจ้าหน้าที่ไอทีอาวุโสของ NASA
“หัวใจของทั้งหมดคือสามหรือสี่ปัญหาหลัก ปัญหาสองประการนั้นร้ายแรงที่สุด ประการแรก นี่เป็นปัญหาการดำเนินงานด้านไอที ความปลอดภัยของข้อมูลและระบบของ NASA อ่อนแอลงอย่างมากและมีแนวโน้มที่จะถูกประนีประนอม เนื่องจากการดำเนินงานด้านไอทีดูเหมือนจะล้มเหลวในการปฏิบัติตามฟังก์ชันการทำงานพื้นฐาน และฟังก์ชันดังกล่าวกำลังแพตช์แอปพลิเคชันและระบบปฏิบัติการ” วิศวกรไอทีอาวุโสของ NASA ที่คุ้นเคยกับการดำเนินงานด้านไอทีกล่าว . “ใครก็ตามที่มีหน้าที่รับผิดชอบในการดูแลรักษาสภาพการทำงานประจำวันของระบบและแอปพลิเคชันควรรับผิดชอบต่อการปล่อยให้สภาพแวดล้อมด้านไอทีเข้าสู่สถานะนี้ นี่เป็นตัวอย่างที่ชัดเจนของการประพฤติมิชอบ ประการที่สอง จากสิ่งที่ฉันเข้าใจในการสนทนากับบุคคลที่สำนักงานใหญ่ของ NASA ที่จัดการสัญญา ACES นั้น HPE จำเป็นต้องแก้ไขแอปพลิเคชันบางอย่าง การสนทนาที่เกิดขึ้นคือ HPE ยอมรับว่าไม่มีทรัพยากรที่จะติดตามแพตช์ และสิ่งนี้เกิดขึ้นตั้งแต่มีการทำสัญญาเมื่อหลายปีก่อน ไม่มีใครในความเป็นผู้นำของ NASA ที่จัดการสัญญา ACES หรือที่ HPE ดูจะเป็นกังวลมากนัก สิ่งนี้รบกวนและอึกอักมาก”
ไม่ใช่แค่ HPE เท่านั้น แหล่งข่าวอีก 2 รายกล่าวในการสัมภาษณ์แยกกันว่าวัฒนธรรมของ NASA ให้ความสำคัญกับภารกิจเป็นอันดับแรกและสำคัญที่สุด และความปลอดภัยในโลกไซเบอร์เป็นลำดับที่สอง
“ฉันจะบอกว่า NASA แย่กว่าค่าเฉลี่ยเมื่อพูดถึงความปลอดภัยทางไซเบอร์ทั่วทั้งรัฐบาล” อดีตเจ้าหน้าที่ของ NASA กล่าว “ปัญหาอันดับหนึ่งคือการกำกับดูแลด้านไอทีที่ไม่ดี ไม่มีอำนาจรวมศูนย์ที่มอบอำนาจให้ดำเนินการใดๆ เกี่ยวกับปัญหาด้านความปลอดภัยในหน่วยงาน รวมถึงหัวหน้าเจ้าหน้าที่สารสนเทศ ศูนย์และองค์กรอื่น ๆ กำลังทำสิ่งต่าง ๆ ของตนเอง และความปลอดภัยทางไซเบอร์ไม่ได้ถูกมองว่าเป็นปัญหาภารกิจ มันถูกมองว่าเป็นปัญหาของ CIO แต่จริงๆ แล้วเป็นปัญหาภารกิจ และจนกว่าหน่วยงานจะเข้าใจปัญหาทางไซเบอร์ของพวกเขาก็จะยังคงอยู่ เพราะไม่ใช่สิ่งที่ CIO จะแก้ไขได้ มันต้องการความเป็นผู้นำที่แข็งแกร่งจากผู้ดูแลระบบ”