6.10.2022.

Američko tijelo za nuklearnu sigurnost nije uspjelo provesti mjere kibernetičke sigurnosti

Nedavni dokument do kojeg je došao Atlas VPN otkriva da je Američka agencija zaduženu za održavanje i modernizaciju nuklearnog arsenala zemlje kažnjena zbog labavih postupaka kibernetičke sigurnosti koji ugrožavaju i IT i operativne tehnološke mreže.

Ured za odgovornost vlade Sjedinjenih Američkih Država (GAO) izdao je 24. rujna 2022. izvješće na 81 stranici u kojem se ocrtavaju propusti Nacionalne uprave za nuklearnu sigurnost (NNSA) u kibersigurnosti.

NNSA je zasebna agencija unutar Ministarstva energetike (DOE) zadužena za upravljanje američkim nuklearnim oružjem u osam laboratorija i proizvodnih lokacija diljem zemlje. Prema GAO-u, NNSA i njegovi suradnici nisu u potpunosti usvojili šest zakonski propisanih standarda kibernetičke sigurnosti, uključujući osnovne tehnike upravljanja rizikom i druge. NNSA nije uspjela u potpunosti provesti dvije od šest obveznih mjera kibernetičke sigurnosti, uključujući razvoj i održavanje strategije kontinuiranog praćenja cijele organizacije, kao i dokumentaciju politika i planova kibernetičke sigurnosti.

Izvođači NNSA odgovorni za upravljanje i operativne aktivnosti moraju se pridržavati istih strogih standarda, ali nisu uspjeli ni na više frontova. Što je najvažnije, nisu bili u mogućnosti implementirati istu strategiju praćenja cijele organizacije s kojom se NNSA borila.

Od sedam M&O (upravljačkih i operativnih) izvođača, četiri su značajno provela politiku nadzora, jedan djelomično, a dva su jedva poboljšala mjere kibernetičke sigurnosti.

Za razliku od NNSA-e, svi izvođači bili su u mogućnosti dokumentirati i održavati politike i planove kibernetičke sigurnosti u skladu s navedenim standardima. Međutim, četiri izvođača dodijelila su većinu, ali ne sve, uloge i odgovornosti za upravljanje kibersigurnošću. Jedan M&O partner dodijelio je samo oko polovicu uloga i dužnosti.

Posljednje područje na kojem su se neki izvođači M&O mučili bilo je uspostavljanje i održavanje strategije kibernetičke sigurnosti za organizaciju. Dva su partnera mjeru provela u znatnoj mjeri, a jedan samo djelomično, što je oko 50%.

Zašto je GAO napravio ovu studiju

NNSA i njezini izvođači radova ugrađuju informacijske sustave u nuklearno oružje, automatiziraju proizvodnu opremu i razvijaju bojeve glave pomoću računalnog modeliranja.

Međutim, akteri prijetnji napadaju cyber sustave. Kako bi se zaštitili od takvih rizika, savezni zakon i pravila zahtijevaju od NNSA da izgradi program upravljanja rizikom kibernetičke sigurnosti koji uključuje primjenu šest gore navedenih osnovnih načela. Od NNSA izvođača se očekuje da nadziru kibernetičku sigurnost svojih podizvođača.
NNSA obećava da će poboljšati svoju kibernetičku sigurnost. Nacrt studije prvo je dostavljen ministrima obrane i energetike, kao i upravitelju Nacionalne uprave za nuklearnu sigurnost.

GAO daje devet prijedloga NNSA-i, uključujući da potpuno provede kontinuirani pristup praćenja, uspostavi resurse potrebne za operativne tehnološke aktivnosti, razvije strategiju rizika od nuklearnog oružja i poboljša nadzor kibernetičke sigurnosti podugovarača. GAO napominje: "U svojim komentarima, reproduciranim u dodatku IX, NNSA se složio s našim preporukama i opisao planirane radnje za njihovo rješavanje."