Счетная палата США заявила, что IT-системы ядерного оружия США могут стать мишенями кибератак.
Согласно новому отчету, Национальное управление по ядерной безопасности (NNSA) и его подрядчики стали чаще использовать передовые компьютеры и цифровые системы для:
Поэтому NNSA необходимо внедрить управление рисками кибербезопасности, поскольку эти системы могут стать мишенями кибератак.
В отчете Счетной палаты США (GAO) отмечается, что федеральный закон и политика определяют 6 методов для программы управления кибербезопасностью:
По словам GAO, NNSA не полностью внедрило методы кибербезопасности в своих операционных технологиях и IT-системах ядерного оружия, и все еще находится в процессе создания руководств для подрядчиков, поскольку агентство все еще выясняет ресурсы, необходимые для внедрения ключевых практик и разработки руководств.
В отчете отмечается, что в традиционной IT-среде, которая включает в себя компьютерные системы для проектирования оружия, NNSA полностью реализовала 4 из 6 методов. А подрядчики внедрили только 3 метода. В частности, как агентство, так и его подрядчики не полностью внедрили стратегию непрерывного мониторинга, что не позволяет им иметь полное представление о состоянии кибербезопасности.
Также NNSA и его подрядчики используют субподрядчиков, но надзор за кибербезопасностью субподрядчиков осуществляется непоследовательно. Подрядчики обязаны контролировать состояние кибербезопасности субподрядчиков (в соответствии с директивой NNSA), но на практике подрядчики не осуществляли должный контроль над киберзащитой. Более того, 3 из 7 подрядчиков считают, что они не обязаны это делать по контракту. Поэтому у субподрядчиков отсутствует надлежащая защита конфиденциальной информации.
Счетная палата США разработала 9 рекомендаций для NNSA. В том числе:
Лечим цифровую неграмотность без побочных эффектов