США усиливает системы ядерного оружия

Согласно новому отчету, Национальное управление по ядерной безопасности (NNSA) и его подрядчики стали чаще использовать передовые компьютеры и цифровые системы для:

• интеграции информационных систем в ядерное оружие;
• автоматизации производственного оборудования;
• компьютерного моделирования при разработке оружия.

Поэтому NNSA необходимо внедрить управление рисками кибербезопасности, поскольку эти системы могут стать мишенями кибератак.

В отчете Счетной палаты США (GAO) отмечается, что федеральный закон и политика определяют 6 методов для программы управления кибербезопасностью:

• назначить роли и обязанности в области кибербезопасности;
• разработать стратегию управления рисками кибербезопасности для организации;
• поддерживать политику и планы программы кибербезопасности;
• оценивать риски кибербезопасности всей организации;
• назначить элементы управления IT-системами или программами;
• проводить постоянный мониторинг рисков в организации.

По словам GAO, NNSA не полностью внедрило методы кибербезопасности в своих операционных технологиях и IT-системах ядерного оружия, и все еще находится в процессе создания руководств для подрядчиков, поскольку агентство все еще выясняет ресурсы, необходимые для внедрения ключевых практик и разработки руководств.

В отчете отмечается, что в традиционной IT-среде, которая включает в себя компьютерные системы для проектирования оружия, NNSA полностью реализовала 4 из 6 методов. А подрядчики внедрили только 3 метода. В частности, как агентство, так и его подрядчики не полностью внедрили стратегию непрерывного мониторинга, что не позволяет им иметь полное представление о состоянии кибербезопасности.

Также NNSA и его подрядчики используют субподрядчиков, но надзор за кибербезопасностью субподрядчиков осуществляется непоследовательно. Подрядчики обязаны контролировать состояние кибербезопасности субподрядчиков (в соответствии с директивой NNSA), но на практике подрядчики не осуществляли должный контроль над киберзащитой. Более того, 3 из 7 подрядчиков считают, что они не обязаны это делать по контракту. Поэтому у субподрядчиков отсутствует надлежащая защита конфиденциальной информации.

Счетная палата США разработала 9 рекомендаций для NNSA. В том числе:

• внедрить стратегию непрерывного мониторинга кибербезопасности;
• определить ресурсы, необходимые для операционных процессов;
• делегировать роли и обязанности по управлению рисками;
• разработать стратегию риска ядерного оружия;
• усилить надзор и мониторинг кибербезопасности субподрядчиков.