Armia i Służby
Broń jądrowa. Praktyki bezpieczeństwa USA do poprawy
Autor. US Government/International Campaign to Abolish Nuclear Weapons/Flickr/CC BY-NC 2.0
Agencja federalna USA odpowiedzialna za broń jądrową oraz jej kontrahenci nie wdrożyli w pełni praktyk dotyczących cyberbezpieczeństwa, co naraża ich na zagrożenie i podnosi ryzyko. Mowa o m.in. systemach komputerowych mających styczność z bombą atomową.
W raporcie GAO (Government Accountability Office) podkreślono, że Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA) oraz jej kontrahenci nie wdrożyli w pełni sześciu podstawowych praktyk dotyczących cyberbezpieczeństwa. Mowa o wprowadzeniu rozwiązań redukujących ryzyko w środowisku informatycznym, obejmującym systemy komputerowe przeznaczone do np. produkcji czy sterowania obiektami, a także urządzeń mających styczność z bronią atomową.
Autor. GAO
Trzeba zrobić więcej i lepiej
GAO wskazuje, że NNSA zastosowała cztery z sześciu praktyk zarządzania cyberryzykiem, opierając się na wytycznych Krajowego Instytutu Standardów i Technologii oraz Komitetu ds. Systemów Bezpieczeństwa Narodowego.
Dwie inne wdrożono w sposób częściowy. Chodzi o kwestie dotyczące opracowania i utrzymania strategii ciągłego monitorowania, a także dokumentowania zasad i planów odnoszących się do programu cyberbezpieczeństwa.
Według raportu, wykonawcy NNSA mają obowiązek nadzorować środki cyberbezpieczeństwa swoich podwykonawców. Jednak jak ujawniło GAO ich wysiłki w tym obszarze były „mieszane”. Trzech na siedmiu kontrahentów zaprzeczyło, jakoby było to ich obowiązkiem, wynikającym z umów.
Ograniczone możliwości reagowania na zagrożenia
Kontrola wykazała, że istniejące luki w zakresie nadzoru – na poziomie wykonawców i samego NNSA – sprawiają, że administracja bezpieczeństwa jądrowego nie może mieć pewności, że poufne informacje posiadane przez podwykonawców są skutecznie chronione.
Co więcej, GAO wykazało, że NNSA nie posiadała właściwego nadzoru nad praktykami cyberbezpieczeństwa swoich kontrahentów.
Przykładowo, dwóch z siedmiu wykonawców w minimalnym stopniu wdrożyło strategie ciągłego monitoringu, a jeden zrobił to w sposób częściowy. Taki stan rzeczy sprawia, że mają oni ograniczone możliwości reagowania w odpowiednim czasie na ewentualne cyberzagrożenia.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany