Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Ajans, Kamu ve Özel Sektörlerde Uzay Siber Güvenliği Çabalarını Desteklemeye Hazırlanıyor
Chris Riotta (@chrisriotta) •
26 Aralık 2023
Uzay endüstrisine zemin kontrolü: Statik siber güvenlik uygulamalarınızı alın ve dinamik bir modele yükseltin. Görev güvenliği gereksinimlerini siber güvenlik topluluğu için daha erişilebilir hale getirme çabasının bir parçası olan NASA’nın uzay iletişimine yönelik ilk güvenlik en iyi uygulamaları kılavuzu böyle söylüyor.
Cuma günü yayınlanan yeni kılavuz NASA’nın uçuş projesi dilini, SP 800-53 olarak bilinen, devlet kurumlarına yönelik güvenlik kontrolleri Ulusal Standartlar ve Teknoloji Enstitüsü kataloğunda belirtilen güvenlik kontrolleriyle uyumlu hale getirir.
Ayrıca bakınız: Belirsiz Zamanlarda Bankalar için Siber Güvenlik İçin 5 Esas
NASA’ya göre siber güvenlik ilkelerinin “görev, program veya proje boyutu, kapsamı veya uluslararası, kurumsal veya üniversite olmasına bakılmaksızın kolayca ulaşılabilir olması amaçlanıyor”. Ajans, kılavuzun amacının, kuruluşların uzay sistemleri ve faaliyetleri için giderek daha fazla entegre ve birbirine bağlı bilgi sistemlerine ve operasyonel teknolojilere uyum sağlamalarına yardımcı olmak olduğunu söyledi.
Bilgisayar korsanlarının uzaydaki güvenlik açıklarına ilişkin farkındalığı, Rusya’nın Şubat 2022’de uydu geniş bant iletişim sağlayıcısı Viasat’a düzenlediği saldırıyla kırmızı çizgiyi aştı. Alman akademisyenler tarafından Nisan ayında yayınlanan bir makaleye göre, uydu geliştiricileri arasında yapılan bir anket, bazı yörüngelerin siber savunma önlemlerinden tamamen yoksun olduğunu kabul ederken, diğerlerinin ise caydırıcı olarak “gizlilik yoluyla güvenliğe” güvendiğini kabul etti. Bu baharda bir hava muhafızı tarafından sızdırılan ve Financial Times tarafından incelenen belgeler, ordunun Çin’in uyduların “kontrolünü ele geçirmek” için siber silah kullandığından endişe duyduğunu gösteriyor.
Kılavuz, uzay faaliyetleri yürüten kamu ve özel sektör kuruluşlarını, belirli operasyonlarla ilgili güvenlik risklerini rutin olarak tanımlamak ve ele almak amacıyla sürekli bir görev güvenliği risk analizi ve risk tepkisi süreci oluşturmaya teşvik ediyor. NASA ayrıca kuruluşlara, tedarik zinciri saldırılarını ve diğer operasyonel güvenlik açıklarını daha iyi azaltmak için etki alanı ayırma ve en az ayrıcalıklı tasarım ilkelerini kuruluşları genelinde uygulamalarını tavsiye ediyor.
NASA’nın kurumsal korumadan sorumlu baş danışman yardımcısı Misty Finical, kılavuzun “hem Dünya’nın yörüngesinde hem de ötesinde riskleri belirlememize ve azaltmamıza ve görevlerimizin sürekli başarısını garanti altına almamıza olanak sağlayacak bir dizi ilke oluşturma yönünde kolektif bir çabayı temsil ettiğini” söyledi. “
Raporlar, kuruluşların son yıllarda uzayda ortaya çıkan siber güvenlik tehditlerine yanıt verirken karşılaştığı çeşitli zorlukları detaylandırıyor. 2019 Hükümet Sorumluluk Ofisi değerlendirmesi, Savunma Bakanlığı’nın ABD uydularını yabancı düşmanların siber saldırılarından ve artan uzay enkazı tehdidinden korumak için yeni yaklaşımlar benimsemekte zorlandığını ortaya çıkardı.
NASA, rehberliğinde, tehdit aktörlerinin yetkisiz erişim elde etmek ve uzay araçları ve operasyonlarıyla kötü niyetli etkileşimde bulunmak için yer sistemlerini kullanabileceğini söyledi. Ajans, kuruluşları yalnızca kimliği doğrulanmış ve yetkili personelin ve yazılımın uzay görevi sistemlerine erişmesine izin verilmesini sağlamaya teşvik etti.
Kılavuz ayrıca, uzay segmentindeki kritik alt sistemlere yetkisiz erişimin önlenmesine, istenmeyen trafiğin engellenmesine ve güvenlik günlüklerinin daha iyi tutulmasına yardımcı olmak için aracılı bir erişim mekanizması kurulmasını da önermektedir.