Ulusal Havacılık ve Uzay Dairesi (NASA), Gizli bilgileri yanlış ellere düşmekten uzak tutmakta oldukça iyidir, ancak tüm doğru verileri Sınıflandırılmış olarak etiketlemede o kadar iyi değildir.
NASA Genel Müfettişlik Ofisi tarafından yayınlanan, örgütün siber güvenlik durumuyla ilgili son rapora göre, bu, birçok projeyi ve bilgiyi içeriden saldırılardan tehlikeye attığı için büyük bir sorun haline geliyor.
“NASA’nın içeriden öğrenen tehdit programı” raporu, NASA teknolojisinin “büyük çoğunluğunun” “yüksek değerli varlıklar ve kritik altyapı” dahil olmak üzere Sınıflandırılmış olarak etiketlenmediğini ortaya koyuyor. Bu varlıklardan bazıları “bilim, mühendislik veya araştırma verileri gibi hassas ve değerli bilgiler; insan kaynakları dosyaları veya satın almayla ilgili hassas bilgiler” içerir.
Sınıflandırılmış verileri etiketleme
Bu öğeler Gizli olarak etiketlenmediğinden, kuruluşun içeriden bilgi koruma programı için uyguladığı çeşitli savunmalar kapsamında değildir.
Sınıflandırılmamış olsaydı işler o kadar da kötü olmazdı, ancak hassas bilgiler her gün kötüye kullanılmadı. Denetçi raporunda, kuruluşun BT sistemlerinin uygunsuz kullanımı da dahil olmak üzere olay sayısının üç yılda %343 arttığını (2017’de 249’dan 2020’de 1.103’e) söylüyor.
Tüm bu olaylar arasında en yaygın sorun “Hassas ama Sınıflandırılmamış (SBU) bilgilerin korunamaması” idi. Görünüşe göre, birçok NASA çalışanı birbirlerine SBU verileri, Kişisel Tanımlanabilir Bilgiler (PII) veya Uluslararası Silah Düzenlemeleri Yönetmeliği verilerini içeren şifrelenmemiş e-postalar gönderiyordu.
Diğer bir potansiyel sorun, çalışanlar için sık sık ayrıcalık yükselmesidir. Son üç yılda, NASA kullanıcıları ayrıcalık yükseltmesi için 12.000’den fazla talepte bulundu.
Gözlemci, verilerini daha iyi korumak için NASA’nın bilgi güvenliği sorumluluklarını yeniden düzenlemesi gerektiğini ima ediyor. Şu anda mevcut durumda, Koruma Hizmetleri Ofisi (OPS) ve Baş Bilgi Görevlisi Ofisi (OCIO) dahil olmak üzere, kuruluşun uç noktalarının güvenliğini sağlamaktan birden fazla ekip sorumlu.
Üzerinden: Kayıt
