Houston, wir haben vielleicht ein Problem.
Laut einer 34-seitigen Überprüfung des US Government Accountability Office (GAO) ist das Cybersicherheits-Framework der NASA für die Entwicklung von Raumfahrzeugen inkonsistent und muss verbessert werden.
Der GAO-Bericht betonte die Notwendigkeit obligatorischer Cybersicherheitsaktualisierungen im gesamten 83-Milliarden-Dollar-Weltraumentwicklungsprojektportfolio der Raumfahrtbehörde.
Die US-Regierungsbehörde forderte die NASA auf, einen Plan mit Zeitrahmen für Richtlinienaktualisierungen zu entwickeln. „Die NASA riskiert eine inkonsistente Umsetzung der Cybersicherheitskontrollen und mangelt an der Gewissheit, dass Raumfahrzeuge über eine mehrschichtige und umfassende Verteidigung gegen Angriffe verfügen“, heißt es in dem Bericht.
Die Überprüfung konzentrierte sich auf drei Projekte, die von drei verschiedenen Forschungszentren verwaltet wurden: das Gateway Power and Propulsion Element, das Orion Multipurpose Crew Vehicle und das Spectro-Photometer for the History of the Universe, Epoch of Reionization and Ices Explorer (SPHEREx).
Während Verträge für geprüfte Projekte Anforderungen an die Cybersicherheit enthalten, bietet der im Oktober 2019 genehmigte Standard zum Schutz von Raumfahrtsystemen, NASA-STD-1006, nur begrenzte Leitlinien für die Cybersicherheit.
„Cyber-Bedrohungen entwickeln sich schnell, da Angreifer ständig neue Techniken und Tools entwickeln, um Schwachstellen auszunutzen“, sagte Chris Warner, ICS/OT-Sicherheitsstratege bei GuidePoint Security. „Mit regelmäßigen Updates können Sicherheitsmaßnahmen aktualisiert werden, um sich gegen diese neuen Bedrohungen wie KI zu schützen.“
Warner warnte davor, dass dies schwerwiegende Folgen haben könnte, wie z. B. unbefugten Zugriff auf sensible Daten oder sogar die Gefährdung geschäftskritischer Systeme, wodurch es für Angreifer einfacher wird, in Systeme einzudringen, bevor sie den Weltraum erreichen.
Die NASA benötigt Zeitpläne für die Umsetzung
Das GAO warnte davor, dass der Zeitpunkt der Umsetzung ohne einen klaren Plan ungewiss bleibe, was das Risiko inkonsistenter Cybersicherheitskontrollen und einer unzureichenden Abwehr von Cyberbedrohungen berge.
Die Weltraumprojekte der NASA sind mit erheblichen Investitionen verbunden und werden in einer Cyberumgebung mit hoher Bedrohung betrieben. Die Behebung dieser Schwachstellen ist für den Schutz und Erfolg der Mission von entscheidender Bedeutung.
„Mit zunehmender Verbreitung von Cyber-Bedrohungen nehmen auch Bedrohungen für die Raumsonde der NASA zu“, warnte der GAO-Bericht. „Ein Cyberangriff könnte zum Verlust wichtiger Daten oder möglicherweise zum Verlust der Kontrolle über das Raumschiff führen.“
Das GAO empfahl der NASA, sicherzustellen, dass der Chefingenieur, CIO und Hauptberater für Unternehmensschutz einen Implementierungsplan entwickelt, um „Richtlinien und Standards für den Erwerb von Raumfahrzeugen zu aktualisieren, um wesentliche Kontrollen zu integrieren, die zum Schutz vor Cyber-Bedrohungen erforderlich sind“.
NASA im Visier von Nationalstaaten
Narayana Pappu, CEO von Zendata, wies darauf hin, dass in den letzten Jahren Nationalstaaten – und Insider-Bedrohungen – die NASA und ihre angeschlossenen Organisationen ins Visier genommen haben, um Mitarbeiterinformationen, Missionsdaten und andere sensible Informationen zu stehlen.
„Es ist für Unternehmen von entscheidender Bedeutung, über robuste und verbindliche Cybersicherheitsmaßnahmen zu verfügen“, sagte Pappu. „Es besteht eine gute Chance, dass die Systemschutzstandards der NASA weit hinter den aktuellen Best Practices zurückbleiben.“
In seiner Antwort auf den Bericht skizzierte Jeffrey Seaton, CIO der NASA, die Herausforderungen bei der Entwicklung eines Satzes wesentlicher Steuerungen, die aufgrund ihrer Vielfalt auf alle Arten von Missionsraumfahrzeugen anwendbar sind.
Pappu schlug vor, eine Microservices- oder modulare Architektur von Kontrollen zu verfolgen, die eine Anpassbarkeit für jede Mission ermöglichen würde, ohne dass es zu Duplikaten bei Maßnahmen, Kontrollen und Ansätzen kommt. „Der Einsatz von Red Teams und die Durchführung von Sicherheitsbewertungen durch Dritte sind für die NASA gute Möglichkeiten, schwerwiegende Cybersicherheitsrisiken zu mindern“, fügte Pappu hinzu.
Es sei nicht nur ratsam, sondern notwendig, Cybersicherheit als einen wesentlichen und nicht verhandelbaren Aspekt der Betriebsstrategie zu behandeln, sagte Warner. „Angesichts der Tatsache, dass Raumfahrzeuge sehr vielfältig sind und sich von terrestrischen Computergeräten unterscheiden, sollten sie als betriebsbereite Technologie behandelt werden.“
Dies erfordert die Implementierung gut durchdachter Governance-Richtlinien und -Standards, die das einzigartige Risiko dieser Systeme über Plattformen und interoperable Systeme hinweg berücksichtigen, um Kontrollen, sensible Informationen, Sicherheit der Lieferkette, Vermeidung wirtschaftlicher Verluste, Kundenvertrauen und Widerstandsfähigkeit gegen sich entwickelnde Bedrohungen zu schützen.
„Diese Governance-Richtlinienpakete sollten mit einem Ansatz strukturiert werden, der verschiedene Ebenen von Sicherheit, Compliance und Betriebsrichtlinien umfasst, die auf die spezifischen Bedürfnisse und Risiken des Luft- und Raumfahrtbetriebs auf verschiedenen Plattformen sowohl für Weltraum- als auch für terrestrische Unterstützungssysteme zugeschnitten sind“, sagte Warner.
KI könnte die Cybersicherheitsbemühungen der NASA verbessern
Die autonome Bedrohungs-, Anomalie- und Drifterkennung gehört zu den Möglichkeiten, wie künstliche Intelligenz und maschinelles Lernen (KI/ML) dazu beitragen könnten, die Cyberrisiken der NASA zu reduzieren.
KI könnte die Cybersicherheit erheblich verbessern, indem sie riesige Datensätze schnell verarbeitet, um Anomalien und Bedrohungen effizienter zu erkennen als menschliche Bediener. „KI hilft auch bei der schnellen Reaktion auf Vorfälle, indem sie Daten analysiert, um Angriffsquellen und -art schnell zu lokalisieren, die Schadensbegrenzung zu beschleunigen und den Schaden zu reduzieren“, sagte Warner.
Diese Technologien sind Kraftmultiplikatoren in Sicherheitsstrategien zur Weiterentwicklung von Bedrohungen und stellen sicher, dass die Abwehrmaßnahmen auf der Grundlage aktueller Daten aktualisiert werden.
„KI kann auch die Kommunikation zwischen Erde und Raumfahrzeugen durch automatische Verschlüsselung und Anomalieerkennung sichern“, sagte Warner.
Bildnachweis: NASA
Aktuelle Artikel des Autors
