Apesar da NASA ter vindo a aumentar os requisitos de cibersegurança às empresas que subcontrata para as suas missões e projetos espaciais, ainda não criou um guia obrigatório para as suas políticas e normalização das aquisições que faz para os aparelhos e nave espaciais. Em vésperas da ISS receber a cápsula Starliner da Boeing, no primeiro teste tripulado, que passará futuramente a ser mais um fornecedor de serviços espaciais à NASA, o GAO alertou para os perigos de cibersegurança que podem existir por falta de rigor.

O GAO é o principal órgão de controlo dos Estados Unidos para auditorias e avaliações independentes de programas ligados ao governo federal do país. Recentemente notou que os requisitos de cibersegurança da NASA, publicados em 2019, para a aquisição de naves não é um aspeto obrigatório quando fecha um contrato de serviços. E dá o exemplo do veículo Orion, em que um ciberataque pode colocar em causa perder-se dados críticos ou mesmo o controlo da nave.

Veja na galeria imagens da Orion do programa Artemis:

O órgão aponta que o guia de segurança espacial publicado em 2023 pela agência inclui princípios e práticas para ajudar a desenvolver os programas com cibersegurança. E dá o exemplo de um princípio que afirma um sistema espacial deve estar protegido contra acesso não autorizado. No entanto, aponta que a NASA ainda não incorporou essas práticas nas suas políticas de aquisição de naves espaciais.

É referido que as ameaças cibernéticas e a tecnologia mudam muito rapidamente. Em resposta a isso, o governo federal emite guias de cibersegurança. Em contratos para projetos selecionados da NASA que o GAO analisou, requerem que as empresas contratadas endereçam a cibersegurança, estão consistentes com a normalização da agência espacial. Há três projetos que começaram antes de 2019 e da data em que a NASA emitiu o protocolo, que felizmente também incluem os novos requisitos.

O problema, aponta o GAO, é que a NASA considerou esses requisitos de cibersegurança em 2019, mas ainda não implementou atualizações para as suas políticas de aquisição. A atualização do guia em 2023 oferece estratégias de potencial mitigação de problemas, mas este é puramente opcional para os programas espaciais. O GAO diz que a NASA explicou que a razão principal de ainda não ter incorporado este guia se deve ao longo tempo que demora a fazê-lo. “Mas é essencial que a NASA mude para práticas que devem ser obrigatórias”.

Os administradores da NASA afirmam que não existe um plano de implementação e um período para incorporar controlos de segurança na normalização e políticas de aquisição. “Como resultado, a NASA arrisca uma implementação inconsistente de controlo de cibersegurança e perde a garantia de que as naves têm uma camada de defesa contra os ataques”. Diz ainda que as naves espaciais estão a operar num ambiente minado de ameaças de ciberataques, aumentando o risco de ataques e disrupção das missões. E aponta à NASA ter identificado eventos espaciais civis que demonstram a necessidade de melhor proteger essas naves contra ciberameaças.

Nas suas recomendações, o GAO diz que a NASA deve desenvolver um plano com períodos de tempo para atualizar as suas políticas de aquisição de naves para incluir controlos essenciais. Apesar da agência ter concordado em atualizar as suas políticas, ainda não concordou em executar um plano com datas.

NewsItem [
pubDate=2024-05-03 16:25:00.0
, url=https://tek.sapo.pt/noticias/computadores/artigos/programas-espaciais-requisitados-pela-nasa-cumprem-boas-praticas-de-ciberseguranca-relatorio-diz-que-nao
, host=tek.sapo.pt
, wordCount=549
, contentCount=1
, socialActionCount=0
, slug=2024_05_03_744844693_programas-espaciais-requisitados-pela-nasa-cumprem-boas-praticas-de-ciberseguranca-relatorio-diz-que-nao
, topics=[tecnologia, nasa, cibersegurança, gao, espaço, ciberataques, naves, contratos]
, sections=[ciencia-tecnologia]
, score=0.000000]