圖片來源: 

美國國家航空暨太空總署

美國公部門遭遇重大攻擊的情況,最近2到3年可說是時有所聞,當中也有部分甚至被發現資安防護不足的現象。而根據福斯新聞網BankInfoSecurity等媒體的報導,近日美國國家航空暨太空總署(NASA)被政府督責總署(Government Accountability Office,GAO)敦促,為了因應日益嚴峻的資安威脅,要求NASA必須改善他們的網路安全與管理政策,GAO也提出3項具議的建議,NASA亦打算著手實施其中部分項目。

為何GAO會提出要求NASA改善資安的建議?原因和NASA面臨的網路威脅明顯增加有關。根據NASA監察長於今年5月發布的報告中指出,他們發現自2020年3月武漢肺炎疫情爆發以來,鎖定該單位為目標的資安事件有所增加:在疫情大流行期間,網路釣魚攻擊成長一倍,而惡意軟體攻擊則呈現指數增加。

NASA監察長指出,他們在過去4年發現約6千次的攻擊事件。在疫情期間,該單位大部分員工都實施遠距辦公,再加上他們IT設備數量和握有的資料量皆相當龐大──整個組織有3千個網站與4萬2千個公開的資料庫,這名監察長認為,上述的情況都加劇了NASA的網路安全挑戰。因此,GAO也提出他們認為NASA應該著手改善的方向。

究竟GAO提出了那些改善資安的建議?在近期GAO寄給美國太空總署局長比爾.尼爾森(Bill Nelson)的信件中,提及他們給NASA改善資安的具體建議。這些分別是進行組織的網路安全風險評估、開發儲存資料的管理系統,以及從NASA內部指派負責網路安全與IT管理的人員等。

其中,對於這3項建議,GAO強調他們自2019年7月,就開始要求進行全面的風險評估;而對於建置儲存資料記錄的電子資訊系統的部分,他們也補充NASA應該要製訂時間表;針對指派相關人員的事宜,GAO則建議要依據美國國家網路安全教育倡議(NICE)框架的規範來執行。

而根據6月21日的回信,NASA大致上已經接受GAO提出的上述建議事項,並希望在今年的年底之前開始實施其中的2項工作。他們試圖在11月30日以前確保員工守則都能符合NICE框架,並表明在4月開始著手進行風險評估,並預計會在9月30日前完成。

NASA也在回信裡提到,他們已經對於資料儲存系統開始盤點,但並未表明會完成的時間。

針對上述的改善計畫,資安顧問公司KnowBe4指出,GAO的建議看起來相當理所當然,但缺乏配置相關資源與落實資安的現象,他們也常會在美國的政府機構看到。

熱門新聞

Advertisement