Согласно новому отчету, Национальное управление по ядерной безопасности (NNSA) и его подрядчики стали чаще использовать передовые компьютеры и цифровые системы для:
интеграции информационных систем в ядерное оружие;
автоматизации производственного оборудования;
компьютерного моделирования при разработке оружия.
Поэтому NNSA необходимо внедрить управление рисками кибербезопасности, поскольку эти системы могут стать мишенями кибератак.
В отчете Счетной палаты США (GAO) отмечается, что федеральный закон и политика определяют 6 методов для программы управления кибербезопасностью:
назначить роли и обязанности в области кибербезопасности;
разработать стратегию управления рисками кибербезопасности для организации;
поддерживать политику и планы программы кибербезопасности;
оценивать риски кибербезопасности всей организации;
назначить элементы управления IT-системами или программами;
проводить постоянный мониторинг рисков в организации.
По словам GAO, NNSA не полностью внедрило методы кибербезопасности в своих операционных технологиях и IT-системах ядерного оружия, и все еще находится в процессе создания руководств для подрядчиков, поскольку агентство все еще выясняет ресурсы, необходимые для внедрения ключевых практик и разработки руководств.
В отчете отмечается, что в традиционной IT-среде, которая включает в себя компьютерные системы для проектирования оружия, NNSA полностью реализовала 4 из 6 методов. А подрядчики внедрили только 3 метода. В частности, как агентство, так и его подрядчики не полностью внедрили стратегию непрерывного мониторинга, что не позволяет им иметь полное представление о состоянии кибербезопасности.
Также NNSA и его подрядчики используют субподрядчиков, но надзор за кибербезопасностью субподрядчиков осуществляется непоследовательно. Подрядчики обязаны контролировать состояние кибербезопасности субподрядчиков (в соответствии с директивой NNSA), но на практике подрядчики не осуществляли должный контроль над киберзащитой. Более того, 3 из 7 подрядчиков считают, что они не обязаны это делать по контракту. Поэтому у субподрядчиков отсутствует надлежащая защита конфиденциальной информации.
Счетная палата США разработала 9 рекомендаций для NNSA. В том числе:
внедрить стратегию непрерывного мониторинга кибербезопасности;
определить ресурсы, необходимые для операционных процессов;
делегировать роли и обязанности по управлению рисками;
разработать стратегию риска ядерного оружия;
усилить надзор и мониторинг кибербезопасности субподрядчиков.
Источник: SecurityLab