NASA sorunu çözmek için bir miktar yol kat etti siber güvenlik zorluklarıBir hükümet gözlemcisine göre, ancak güvenlik politikalarının ve standartlarının çoğunun hala isteğe bağlı olduğunu söylüyor.
ABD Hükümeti Sorumluluk Ofisi (GAO) yakın zamanda üç NASA projesinin incelemesini tamamladı: Geçit Gücü ve İtiş Elemanı, Orion Çok Amaçlı Mürettebat Aracı ve Evrenin Tarihi için Spektro-Fotometre, Yeniden İyonizasyon Çağı ve Buz Kaşifi (SPHEREx). GAO, bu projelerle ilgili sözleşmelerin yüklenicilerin örneğin konumlandırma, navigasyon ve zamanlama sistemlerini yeterli şekilde ele alıp test ederek siber güvenliği ele almasını gerektirdiğini tespit etti.
Ancak, yayınlandığından beri Uzay Sistemi Koruma Standardı NASA, 2019 yılında bu sözleşmelere ilişkin politikalarını ve standartlarını güncellemedi. Ayrıca NASA bir yayın yayınladı. Uzay Güvenliği: En İyi Uygulamalar Kılavuzu Geçen Aralık ayında, ancak uzay aracı programları için rehberlik isteğe bağlıdır.
GAO, raporunu tamamlarken, NASA’nın politikalarını güncellemek için “zaman çerçeveli bir plan geliştirmesini” önerdi.
LogRhythm’in CISO yardımcısı Kevin Kirkwood, NASA’da güvenliğin çözülmesinin “bir gecede gerçekleşemeyeceğini” belirtiyor. “İlginç ve uzun bir yolculuk olacak: Öncelikle politika perspektifinden temeli oluşturmak, daha sonra teknolojinin bunu takip etmesi gerekiyor. Ve eğer bunu çalıştırmanın bir yolunu bulamazlarsa, ‘ Başınız bugün olduğundan daha kötü bir durumda olacak.”
Güvenlik ve Pratiklik
NASA CIO’su Jeffrey Seaton, rapora verdiği yanıtta “politikaların ve standartların sürekli iyileştirilmesinin sağlanması ihtiyacını” kabul etti ancak GAO’nun nihai tavsiyesini geri çekti. Sebepleri arasında Seaton, uzaydaki siber güvenliğin iki kaçınılmaz gerçeğine dikkat çekti.
Birincisi, uzay araçları çok çeşitlidir; Seaton, NASA’nın küçük uydular ve insanlı uçaklar fırlattığını ve “bu nedenle, her tür görev uzay aracına uygulanabilecek tek bir temel kontrol seti geliştirmenin mümkün olmadığını” yazdı.
İkincisi, uzay aracı makineleri Dünya’da kullanılan bilgisayarlardan farklıdır. İlgili mühendislik kısıtlamaları, en son siber güvenlik yeteneklerinin güvenli bir şekilde uygulanmasını “önemsiz” hale getiriyor.
NCC Group’un baş güvenlik danışmanı ve Kuzey Amerika havacılık lideri Jeff Hall, “Bu, uzaya, ağırlığa ve güce bağlı” diye açıklıyor. “Bir şeyler eklemek alanınızı, ağırlığınızı ve güç bütçenizi azaltır ki bu da kritiktir çünkü zaten çok kısıtlısınız.” Bu, özellikle bir uzay aracı zaten inşa edilmişse (bu bütçe zaten hesaba katılmışsa) ve olay gerçekleştikten sonra güvenlik önlemleri alınmaya çalışılıyorsa sorunludur.
Hall, “Bununla mühendislik tarafında ilk elden, Savunma Bakanlığı için uçaklar, füzeler ve silah sistemleriyle ilgilendim” diye ekliyor. İşin BT tarafında yer alan pek çok kişinin (biliyorsunuz CIO’lar, CISO’lar) operasyonel teknoloji deneyimi yok ve geleneksel BT çözümleriyle size ulaşmaya çalışıyorlar. Operasyonel teknolojinin hafızası oldukça sınırlıdır. Oldukça işlemci sınırlıdır. Belirli işlevleri yerine getirmek için tasarlanmıştır, başka hiçbir şey yapmaz. Dolayısıyla uç nokta algılama gibi ek yazılımları barındırmak böyle bir sistem için işe yaramaz.”
Kirkwood, bu sorunlar karşısında mühendislik kısıtlamaları ile güvenlik sağlamlığı arasında doğru dengeyi bulmanın gerekli olduğu konusunda uyarıyor en kötü senaryo, bilimkurgu düzeyindeki tehditler NASA’nın en değerli sistemlerine.
“Eğer kendinize herhangi bir yere enjekte edebilirseniz [spacecraft’s] boru hattında gezinme şeklini değiştiren bir sinyal göndermek gibi komik şeyler yapmaya başlayabilirsiniz” diyor. “Ya da yemek gibi soğuk olması gereken şeyleri ısıtabilirsiniz. Tüm ortamın kapanmasını söylemek için uzay istasyonuna bir sinyal gönderebilirsiniz. Derin uzay oldukça soğuk; astronotlar biraz üşüdüklerini fark edecekler ve bu konuda bir şeyler yapmaları gerekecek.
“Birini bir uzay aracına yerleştirmeden önce bunun gibi şeylerin iyice düşünülmesi ve mimari olarak düzeltilmesi gerekiyor.”