美国-要求NASA尽速改善资安风险管理措施

美国公部门遭遇重大攻击的情况，最近2到3年可说是时有所闻，当中也有部分甚至被发现资安防护不足的现象。而根据福斯新闻网、BankInfoSecurity等媒体的报导，近日美国国家航空暨太空总署（NASA）被-督责总署（Government Accountability Office，GAO）敦促，为了因应日益严峻的资安威胁，要求NASA必须改善他们的网络安全与管理政策，GAO也提出3项具议的建议，NASA亦打算着手实施其中部分项目。

为何GAO会提出要求NASA改善资安的建议？原因和NASA面临的网络威胁明显增加有关。根据NASA监察长于今年5月发布的报告中指出，他们发现自2020年3月武汉肺炎疫情爆发以来，锁定该单位为目标的资安事件有所增加：在疫情大流行期间，网络钓鱼攻击成长一倍，而恶意软件攻击则呈现指数增加。

NASA监察长指出，他们在过去4年发现约6千次的攻击事件。在疫情期间，该单位大部分员工都实施远距办公，再加上他们IT设备数量和握有的资料量皆相当庞大──整个组织有3千个网站与4万2千个公开的数据库，这名监察长认为，上述的情况都加剧了NASA的网络安全挑战。因此，GAO也提出他们认为NASA应该着手改善的方向。

究竟GAO提出了那些改善资安的建议？在近期GAO寄给美国太空总署局长比尔．尼尔森（Bill Nelson）的信件中，提及他们给NASA改善资安的具体建议。这些分别是进行组织的网络安全风险评估、开发储存资料的管理系统，以及从NASA内部指派负责网络安全与IT管理的人员等。

其中，对于这3项建议，GAO强调他们自2019年7月，就开始要求进行全面的风险评估；而对于建置储存资料记录的电子资讯系统的部分，他们也补充NASA应该要制订时间表；针对指派相关人员的事宜，GAO则建议要依据美国国家网络安全教育倡议（NICE）框架的规范来执行。

而根据6月21日的回信，NASA大致上已经接受GAO提出的上述建议事项，并希望在今年的年底之前开始实施其中的2项工作。他们试图在11月30日以前确保员工守则都能符合NICE框架，并表明在4月开始着手进行风险评估，并预计会在9月30日前完成。

NASA也在回信里提到，他们已经对于资料储存系统开始盘点，但并未表明会完成的时间。

针对上述的改善计划，资安顾问公司KnowBe4指出，GAO的建议看起来相当理所当然，但缺乏配置相关资源与落实资安的现象，他们也常会在美国的-机构看到。