Os voos espaciais e a pesquisa são um dos ramos da atividade humana que mais fazem uso da ciência, o que naturalmente usa tecnologias de informação. Mas se antes, quando “os computadores eram grandes”, a questão da segurança de TI não era levantada, agora, quando um grande número de smartphones, tablets ou laptops são usados na NASA, a situação é diferente. E um relatório do Escritório da Inspetoria-Geral (OIG) indica um alto risco de vazamento de informações.
Estratégia de segurança de TI da NASA
A razão para este risco é simples: além de sua própria infraestrutura de TI, os funcionários da NASA, como, em geral, e em todo o mundo moderno, utilizam ativamente os dispositivos móveis e nem sempre exclusivamente para fins pessoais, não relacionados ao trabalho. Embora o acesso de dispositivos pessoais na rede da agência seja proibido pelas regras, há exceções a essas regras e, em alguns casos, para dispositivos verificados e aprovados, o acesso ao sistema de e-mail da NASA pode ser permitido.
Alguns dos parceiros da agência, dependendo do acordo, também podem usar seus próprios dispositivos de TI para acessar segmentos comerciais das redes da NASA ou mesmo segmentos diretamente relacionados a missões espaciais em andamento. No entanto, de acordo com o OIG, há anos a NASA pratica a admissão à parte não pública da rede de dispositivos não autorizados, tanto pessoais quanto pertencentes a parceiros da agência.
…No entanto, a implementação de uma série de medidas é muito tardia
Um dos picos do conflito veio em abril de 2018, quando o CIO aprovou a proibição de conectar tais dispositivos às redes da NASA, rotulando-os como “dispositivos não autorizados”. No entanto, o próprio departamento de TI reagiu negativamente a isso, dizendo que uma política tão rígida estava interferindo no trabalho. O conflito foi resolvido em outubro do mesmo ano, e os parceiros da NASA ainda conseguiram obter acesso a redes fechadas, sujeitas à instalação do software Mobile Device Management (MDM).
Mas um relatório recente do Escritório da Inspetoria Geral, divulgado no final do verão, concluiu que as medidas que a NASA está tomando para garantir a segurança da rede são inadequadas e frequentemente cumpridas formalmente. Em particular, a implantação de ferramentas para monitorar conexões de rede de dispositivos que não pertencem à agência não fornece totalmente a capacidade de desconectar e bloquear dispositivos suspeitos da rede. A implantação total desse sistema foi planejada para dezembro de 2019, mas desde então tem sido repetidamente adiada, tanto por motivos técnicos quanto devido a uma mudança nas prioridades de trabalho do departamento de TI da NASA.
O processo de uso do MDM está longe de ser simples. Não admira que ele “interfira com o trabalho”
O monitoramento e a aplicação automática das regras de segurança não estão totalmente implementados até agora, porque nem mesmo foram planejados inicialmente no projeto de MDM. Como resultado, os dados da NASA não destinados ao público foram reconhecidos como estando em risco de vazamento, e as redes foram consideradas vulneráveis a hackers para a introdução de vírus, worms e outros softwares desse tipo.
Embora o relatório do OIG observe que a situação da segurança cibernética na NASA melhorou em comparação a 2018 e 2019, também há uma coordenação deficiente entre o departamento central de TI da agência e seus pares periféricos. Por causa disso, as ferramentas de segurança cibernética necessárias são implementadas de forma muito desigual e nem sempre atendem aos “requisitos no local”.
As recomendações do OIG são bastante lógicas, o primeiro ponto nelas é a necessidade de implementar um sistema unificado de ferramentas de segurança de rede, monitorando e bloqueando o acesso não autorizado. Recomenda-se que a política de segurança cibernética da NASA seja revisada, um único conjunto de regras e especificações de MDM seja definido e tudo seja alinhado com o NIST SP 800-124. Não se sabe se a agência espacial norte-americana atenderá a esses requisitos, já que o caso de tal negligência não é o primeiro, e tal negligência com a segurança de TI foi observada há cerca de 10 anos. O relatório completo pode ser encontrado neste link.