מבקר המדינה האמריקני: נתגלו פרצות אבטחה רבות במחשבים של נאס"א

בשנים 2007 ו-2008 סבלה סוכנות החלל האמריקנית, נאס"א (NASA), מהמספר הגדול ביותר של מתקפות מזיקים מבין כל הסוכנויות של הממשל האמריקני – כך על פי דו"ח שפרסמה סוכנות GAO (ר"ת Government Accountability Office) – הגוף בארצות הברית המקביל למוסד מבקר המדינה בישראל.

בשנתיים שבהן עוסק הדו"ח דיווחה נאס"א על 1,120 תקריות אבטחה – ובכלל זה השתלה של תוכנות עוינות במחשבי הסוכנות וגישה בלתי מורשית למידע רגיש. במחשבים שנגנבו מנאס"א נשמר מידע בלתי מוצפן על אבטיפוס של המטוס ההיפר-סוני X-51 Scramjet, על תוכניות לניסויים בטלסקופ חלל ועל כלי הרכב שאמורים לנחות על הירח.

בתקרית אחרת הושתלו ב-82 מחשבים של הסוכנות תוכנות רובוטיות, והן שולבו ברשת אוקראינית של עברייני מחשבים לאחר שנדבקו בתוכנות סתר (Rootkit). בפעם נוספת הודבקו 86 מחשבים בסוס הטרויאני Zoneback, אשר חוסם תוכנות אבטחה ומפעיל קוד עוין.

בעקבות תקריות אלה ואחרות קרא Computer Emergency Readiness Team, גוף לאבטחת מידע של הממשל האמריקני, לסוכנות החלל ליישם תהליך עקבי של התקנת טלאים ולערוך הדרכות מסודרות לעובדים בנושא האבטחה המקוונת. אולם, למרות הצעדים שננקטו, גילו בנאס"א שמספר מחשבים הודבקו בסוס הטרויאני Coreflood, אשר גונב שמות משתמש וסיסמאות ויוצר קשר עם "שרתי פיקוד מרוחקים".

הסוכנות נקטה מספר צעדים לשיפור התגובה לתקריות והידוק המערך של אבטחת המידע, אך על פי הדו"ח של GAO, "נאס"א עדיין חשופה לתקריות דומות. פרצות במערך הבקרה ובעיות בתוכנות מאפשרות לפורצים, וגם לעובדים שכירים ועובדי קבלן, לעקוף את אמצעי הבקרה או לחסום אותם ולבצע פעולות בלתי הולמות ואף עוינות".

ב-GAO גיבשו שמונה המלצות כלליות, ובהן פיתוח של תוכניות להערכת סיכונים ומדיניות אבטחה מלאה. הדו"ח כולל 200 המלצות ספציפיות ביחס ל-129 נקודות תורפה שנתגלו. לורי גרוור, סגנית המנהל של נאס"א, הסכימה עם ההמלצות שבדו"ח. "אנו ממשיכים לשפר את אבטחת המידע בהתאם לאסטרטגיה שגובשה בעבר על מנת להפעיל סביבת מיחשוב משולבת, בטוחה ויעילה שתסייע לנו למלא את משימותינו", מסרה גרוור.