Artigos

PROGRAMA DE AMEAÇAS INTERNAS DA NASA

Por

18 de março de 2022 13:04

POR QUE REALIZOU A AUDITORIA

As ameaças de segurança cibernética apresentadas pelos funcionários e contratados de uma organização são comumente chamadas de informações privilegiadas ameaças. Insiders normalmente voam sob o radar das defesas de segurança tradicionais, dificultando a detecção e prevenção quaisquer atividades impróprias. De acordo com especialistas do governo e do setor, as ameaças internas mais comuns surgem de:

vazamentos acidentais, que podem se originar de um ataque de phishing ou de um funcionário que encaminha um e-mail confidencial para a pessoa errada; uso indevido de acesso à rede ou privilégios de banco de dados, onde um funcionário burla intencionalmente a segurança cibernética políticas ou procedimentos; e roubo de dados, em que um funcionário remove dados de uma organização com a intenção de vender ou de outra forma liberando-o indevidamente.

Dada a missão de alto nível da NASA e ampla conectividade com instituições educacionais, instalações de pesquisa e parceiros internacionais, sua exposição ao risco de ameaças internas é significativa e variada. Nesta auditoria, examinamos se a NASA implementou um programa eficaz de ameaças internas de acordo com as políticas federais e da Agência e práticas líderes de cibersegurança. Especificamente, examinamos se: (1) a estratégia de ameaças internas da NASA fornece uma estrutura adequada para identificar ameaças internas maliciosas e não intencionais; (2) A NASA implementou apropriadamente controles de aquisição para identificar e impedir o roubo de dados intelectuais de adversários estrangeiros e (3) a NASA desenvolveu controles de segurança cibernética adequados para prevenir, detectar e responder à extração ou manipulação de dados e propriedade intelectual. Para conduzir nosso trabalho, revisamos as políticas, regulamentações e orientações federais e da Agência, bem como como as melhores práticas da indústria; entrevistou vários funcionários da NASA do Office of Protective Services, Office of Chief Oficial de Informações e Escritório de Aquisições; e reuniu-se com o National Insider Threat Task Force.

O QUE FOI ENCONTRADO

A NASA, como todas as agências federais, é obrigada a lidar com ameaças internas em seus sistemas classificados, e descobrimos que a Agência tomou as medidas adequadas para implementar um programa de ameaças internas para esses sistemas. Especificamente, determinamos que A NASA estabeleceu o monitoramento da atividade do usuário, desenvolveu treinamento obrigatório de ameaças internas em toda a Agência e criou um Site de referência de ameaças internas que auxilia funcionários e contratados na identificação de ameaças, riscos e acompanhamento em formação. Além disso, a Agência está fortalecendo os controles de aquisições, expandindo os requisitos de divulgação e procedimentos de atualização para lidar com os riscos de influência estrangeira.

Embora a NASA tenha um programa de ameaças internas totalmente operacional para seus sistemas classificados, a grande maioria dos sistemas de tecnologia da informação (TI) — incluindo muitos que contêm ativos de alto valor ou infraestrutura crítica — são não classificados e, portanto, não são cobertos por seu atual programa de ameaças internas. Consequentemente, a Agência pode ser enfrentando um risco maior do que o necessário para seus sistemas e dados não classificados. Enquanto a exclusão da NASA de sistemas não classificados de seu programa de ameaças internas é comum entre as agências federais, adicionando esses sistemas a uma segurança multifacetada O programa poderia fornecer um nível adicional de maturidade ao programa e proteger melhor os recursos da agência. De acordo com funcionários da agência, expandir o programa de ameaças internas para sistemas não classificados beneficiaria a segurança cibernética da agência postura se melhorias incrementais, como foco em sistemas de TI e pessoas com maior risco, fossem implementadas.

No entanto, preocupações contínuas, incluindo desafios de pessoal, limitações de recursos tecnológicos e falta de financiamento para o apoio a tal expansão precisaria ser abordado antes de melhorar o programa existente.

Ampliando ainda mais as complexidades das ameaças internas estão os desafios interdisciplinares em torno da segurança cibernética perícia. Na NASA, as responsabilidades por sistemas não classificados são amplamente compartilhadas entre o Escritório de Serviços de Proteção e o Gabinete do Diretor de Informações. Além disso, os contratos da Agência são geridos pelo Gabinete de Aprovisionamento enquanto as concessões e acordos de cooperação são administrados pelo Gabinete do Diretor Financeiro. Mesmo assim, em nosso visão, mitigar o risco de uma ameaça interna é um esporte de equipe em que uma avaliação abrangente do risco de ameaça interna permitiria à Agência recolher informações essenciais sobre pontos fracos ou lacunas nos processos administrativos e na cibersegurança.

Em um momento em que há uma preocupação crescente com as ameaças contínuas de influência estrangeira, dar o passo proativo para conduzir uma avaliação de risco para avaliar os sistemas não classificados da NASA garante que as lacunas não possam ser exploradas de maneiras que comprometer a capacidade da Agência para cumprir a sua missão.

O QUE RECOMENDAM

Para fortalecer o programa de ameaças internas da NASA, recomendamos o Administrador Associado, o Administrador Assistente para Serviços de Proteção e o Diretor de Informações:

Estabeleça uma equipe interdisciplinar para conduzir uma avaliação de risco de ameaças internas para avaliar os sistemas não classificados da NASA e determinar se o risco correspondente justifica a expansão do programa de ameaças internas para incluir esses sistemas.
Melhorar a comunicação interdisciplinar estabelecendo um Grupo de Trabalho que inclua o Escritório de Serviços de Proteção (OPS), o Escritório do Diretor de Informações (OCIO), o Escritório de Compras, funcionários de recursos humanos e quaisquer outros escritórios relevantes da Agência para colaborar em problemas abrangentes relacionados a ameaças internas para sistemas classificados e não classificados.

Fornecemos um rascunho deste relatório à administração da NASA, que concordou com nossas recomendações. Consideramos os comentários da administração responsivos; portanto, as recomendações são resolvidas e serão encerradas após a conclusão e verificação das ações corretivas propostas.

Baixe o Relatório Completo

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

Compartilhe isso:

Descubra mais sobre DCiber

ARTIGOS RELACIONADOSMais do autor

Deepfakes seguem como ameaça cada vez mais real e devem impulsionar investimentos de mais de 41% por ano

Brasil e Angola apresentam avanços de parceria tecnológica

Alerta vermelho na saúde: especialista aponta urgência do setor no foco em cibersegurança

Siga-nos no instagram @dciber_org

ARTIGOS RELACIONADOS Mais do autor