La Oficina de Responsabilidad del Gobierno de Estados Unidos (GAO por sus siglas inglés) ha publicado un informe en el que señala que si bien la NASA ha establecido una serie de requisitos de ciberseguridad para sus proyectos y programas, todavía no ha dictado unas pautas imperativas específicas para la adquisición de naves espaciales. En consecuencia, advierte que la NASA "corre el riesgo de una implementación inconsistente de los controles de ciberseguridad y carece de garantías de que las naves espaciales tengan una defensa integral y en capas frente a los ataques".
Según la GAO, es comprensible que la NASA adopte un enfoque cauteloso a la hora de introducir cambios de ciberseguridad que pueden afectar a las operaciones de naves espaciales, pero debería equilibrar esa cautela con una actitud proactiva, dada la naturaleza dinámica y evolutiva de las ciberamenazas. "Garantizar que las actualizaciones de sus políticas y normas de las naves espaciales se completen de manera oportuna proporcionaría a la NASA mayor confianza en que sus naves espaciales son resistentes a las amenazas de ciberseguridad y reduciría el riesgo de consecuencias adversas", afirma la Oficina de Responsabilidad del Gobierno de EE.UU.
5 años sin actualizar sus estándares de ciberseguridad, con una guía no vinculante…
Este informe es el resultado de un trabajo realizado por la GAO, a petición de parlamentarios estadounidenses que no han sido especificados, que ha consistido en examinar las normas de ciberseguridad que contempla la NASA en sus contratos para proyectos de naves espaciales. La GAO seleccionó una muestra no generalizable de tres de estos proyectos, de los cuales ha analizado sus contratos y documentos asociados, además de entrevistar a funcionarios implicados en los mismos.
La GAO ha constatado que los tres contratos seleccionados exigían a los contratistas abordar la ciberseguridad en conformidad con las normas estipuladas por la NASA en 2019, cuando emitió sus estándares de ciberseguridad. Sin embargo, la GAO asegura que desde entonces la NASA "ha considerado, pero aún no ha implementado" actualizaciones en sus políticas de adquisición de naves espaciales. Además, apunta que los programas de naves espaciales no tienen la obligación de cumplir la guía que publicó la NASA el año pasado con una recopilación de las mejores prácticas de seguridad espacial. "Esta guía es opcional para los programas de naves espaciales".
"Los funcionarios de la NASA han explicado que una razón fundamental por la que aún no han incorporado esta guía en las políticas y estándares de adquisición requeridos es el tiempo que implica hacerlo", indica la GAO, agregando que estas fuentes también han manifestado que la NASA no tiene un plan de implementación ni un cronograma para incorporar controles de seguridad adicionales en sus políticas y estándares de adquisición de naves espaciales.
La GAO insta a la NASA actualizar sus políticas de adquisición de naves espaciales
La GAO reconoce que el proceso de establecimiento de este tipo de estándares "puede llevar un tiempo", pero insta a la NASA a actualizar sus políticas de adquisición de naves espaciales y la recomienda hacerlo a partir de un plan concreto diseñado a plazos.
"LA NASA aceptó actualizar sus políticas, pero no acordó establecer un plan con fechas para hacerlo", indica la GAO el informe. "Sin establecer un plan para actualizar sus políticas y estándares a fin de garantizar controles de ciberseguridad esenciales a la luz de este entorno dinámico, la información de la guía sigue siendo opcional para los programas. Como resultado, la NASA se expone al riesgo de consideraciones inconsistentes en la implementación de controles de ciberseguridad y no tendrá plena garantía de que las naves espaciales utilizadas para apoyar sus misiones tienen unas ciberdefensas adecuadas frente a ciberataques". "Sin un plan, la GAO sostiene que se desconoce cuándo tendrá lugar la implementación", agrega.