美国公部门遭遇重大攻击的情况,最近2到3年可说是时有耳闻,其中也有部分甚至被发现安全防护不足的现象。而根据大众新闻网、BankInfoSecurity等媒体的报道,近日美国国家航空暨太空总局(NASA)被政府督责总局(Government Accountability Office,GAO)敦促,为了应对日益严峻的安全威胁,要求NASA必须改善他们的网络安全与管理政策,GAO也提出3项具议的建议,NASA也打算着手实施其中部分项目。
为何GAO会提出要求NASA改善安全的建议?原因和NASA面临的网络威胁明显增加有关。根据NASA监察长于今年5月发布的报告中指出,他们发现自2020年3月新冠肺炎疫情暴发以来,锁定该单位为目标的安全事件有所增加:在疫情大流行期间,网络钓鱼攻击增长一倍,而恶意软件攻击则呈现指数增加。
NASA监察长指出,他们在过去4年发现约6千次的攻击事件。在疫情期间,该单位大部分员工都实施远程办公,再加上他们IT设备数量和握有的资料量皆相当庞大──整个组织有3千个网站与4万2千个公开的数据库,这名监察长认为,上述的情况都加剧了NASA的网络安全挑战。因此,GAO也提出他们认为NASA应该着手改善的方向。
究竟GAO提出了那些改善安全的建议?在近期GAO寄给美国太空总局局长比尔.尼尔森(Bill Nelson)的信件中,提及他们给NASA改善安全的具体建议。这些分别是进行组织的网络安全风险评估、开发存储资料的管理系统,以及从NASA内部指派负责网络安全与IT管理的人员等。
其中,对于这3项建议,GAO强调他们自2019年7月,就开始要求进行全面的风险评估;而对于构建存储资料记录的电子信息系统的部分,他们也补充NASA应该要制订时间表;针对指派相关人员的事宜,GAO则建议要依据美国国家网络安全教育倡议(NICE)框架的规范来执行。
而根据6月21日的回信,NASA大致上已经接受GAO提出的上述建议事项,并希望在今年的年底之前开始实施其中的2项工作。他们试图在11月30日以前确保员工守则都能符合NICE框架,并表明在4月开始着手进行风险评估,并预计会在9月30日前完成。
NASA也在回信里提到,他们已经对于资料存储系统开始盘点,但并未表明会完成的时间。
针对上述的改善计划,安全顾问公司KnowBe4指出,GAO的建议看起来相当理所当然,但缺乏配置相关资源与落实安全的现象,他们也常会在美国的政府机构看到。