Armia i Służby

Broń jądrowa. Praktyki bezpieczeństwa USA do poprawy

Bomba atomowa zdetonowana na atolu Bikini na Wyspach Marshalla w 1946 roku (fotografia w kolorze).
Fot. US Government/International Campaign to Abolish Nuclear Weapons/Flickr/CC BY-NC 2.0

Agencja federalna USA odpowiedzialna za broń jądrową oraz jej kontrahenci nie wdrożyli w pełni praktyk dotyczących cyberbezpieczeństwa, co naraża ich na zagrożenie i podnosi ryzyko. Mowa o m.in. systemach komputerowych mających styczność z bombą atomową.

W raporcie GAO (Government Accountability Office) podkreślono, że Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA) oraz jej kontrahenci nie wdrożyli w pełni sześciu podstawowych praktyk dotyczących cyberbezpieczeństwa. Mowa o wprowadzeniu rozwiązań redukujących ryzyko w środowisku informatycznym, obejmującym systemy komputerowe przeznaczone do np. produkcji czy sterowania obiektami, a także urządzeń mających styczność z bronią atomową.  

Raport "NUCLEAR WEAPONS CYBERSECURITY. NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices", opublikowany przez GAO.
Fot. GAO

Czytaj też

Trzeba zrobić więcej i lepiej

GAO wskazuje, że NNSA zastosowała cztery z sześciu praktyk zarządzania cyberryzykiem, opierając się na wytycznych Krajowego Instytutu Standardów i Technologii oraz Komitetu ds. Systemów Bezpieczeństwa Narodowego.

Dwie inne wdrożono w sposób częściowy. Chodzi o kwestie dotyczące opracowania i utrzymania strategii ciągłego monitorowania, a także dokumentowania zasad i planów odnoszących się do programu cyberbezpieczeństwa.

Według raportu, wykonawcy NNSA mają obowiązek nadzorować środki cyberbezpieczeństwa swoich podwykonawców. Jednak jak ujawniło GAO ich wysiłki w tym obszarze były „mieszane”. Trzech na siedmiu kontrahentów zaprzeczyło, jakoby było to ich obowiązkiem, wynikającym z umów.

Czytaj też

Ograniczone możliwości reagowania na zagrożenia

Kontrola wykazała, że istniejące luki w zakresie nadzoru – na poziomie wykonawców i samego NNSA – sprawiają, że administracja bezpieczeństwa jądrowego nie może mieć pewności, że poufne informacje posiadane przez podwykonawców są skutecznie chronione.

Co więcej, GAO wykazało, że NNSA nie posiadała właściwego nadzoru nad praktykami cyberbezpieczeństwa swoich kontrahentów.

Przykładowo, dwóch z siedmiu wykonawców w minimalnym stopniu wdrożyło strategie ciągłego monitoringu, a jeden zrobił to w sposób częściowy. Taki stan rzeczy sprawia, że mają oni ograniczone możliwości reagowania w odpowiednim czasie na ewentualne cyberzagrożenia.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także