Houston, podemos tener un problema.
El marco de ciberseguridad de la NASA para el desarrollo de naves espaciales es inconsistente y debe mejorarse, según una revisión de 34 páginas realizada por la Oficina de Responsabilidad Gubernamental de EE. UU. (GAO).
El informe de la GAO destacó la necesidad de actualizaciones obligatorias de ciberseguridad en toda la cartera de proyectos de desarrollo espacial de 83 mil millones de dólares de la agencia espacial.
La agencia del gobierno estadounidense instó a la NASA a desarrollar un plan con plazos para las actualizaciones de políticas. “La NASA corre el riesgo de una implementación inconsistente de los controles de ciberseguridad y carece de garantías de que las naves espaciales tengan una defensa integral y en capas contra los ataques”, dice el informe.
La revisión se centró en tres proyectos gestionados desde tres centros de investigación diferentes: el elemento de propulsión y energía Gateway, el vehículo tripulado multipropósito Orion y el espectrofotómetro para la historia del universo, época de reionización y explorador de hielos (SPHEREx).
Si bien los contratos para los proyectos revisados incluyen requisitos de ciberseguridad, el estándar de protección del sistema espacial, NASA-STD-1006, aprobado en octubre de 2019, proporciona orientación limitada para la ciberseguridad.
“Las amenazas cibernéticas evolucionan rápidamente a medida que los atacantes desarrollan constantemente nuevas técnicas y herramientas para explotar las vulnerabilidades”, dijo Chris Warner, estratega de seguridad ICS/OT de GuidePoint Security. “Con actualizaciones periódicas, se pueden actualizar las medidas de seguridad para defenderse de estas nuevas amenazas, como la IA”.
Warner advirtió que esto podría tener consecuencias graves, como el acceso no autorizado a datos confidenciales o incluso el compromiso de sistemas de misión crítica, lo que facilitaría a los atacantes violar los sistemas antes de que lleguen al espacio.
La NASA necesita cronogramas de implementación
La GAO advirtió que el momento de implementación sigue siendo incierto sin un plan claro, lo que plantea riesgos de controles de ciberseguridad inconsistentes y una defensa inadecuada contra las amenazas cibernéticas.
Los proyectos espaciales de la NASA implican importantes inversiones y operan en un entorno cibernético de alta amenaza. Abordar estas vulnerabilidades es crucial para la protección y el éxito de la misión.
“A medida que las amenazas cibernéticas se vuelven más frecuentes, también lo hacen las amenazas a las naves espaciales de la NASA”, advirtió el informe de la GAO. “Un ciberataque podría provocar la pérdida de datos críticos o posiblemente la pérdida del control de la nave espacial”.
La GAO recomendó que la NASA se asegure de que el ingeniero jefe, el CIO y el asesor principal para la protección empresarial desarrollen un plan de implementación para “actualizar las políticas y estándares de adquisición de naves espaciales para incorporar los controles esenciales necesarios para proteger contra las amenazas cibernéticas”.
La NASA en el objetivo de los Estados-nación
Narayana Pappu, director ejecutivo de Zendata, señaló que en los últimos años, los estados-nación (y las amenazas internas) se han dirigido a la NASA y sus organizaciones afiliadas para robar información de los empleados, datos de la misión y otra información confidencial.
“Es absolutamente crucial que las organizaciones cuenten con medidas de ciberseguridad sólidas y obligatorias”, dijo Pappu. “Existe una buena posibilidad de que los estándares de protección del sistema de la NASA estén muy por detrás de las mejores prácticas actuales”.
En su respuesta al informe, el CIO de la NASA, Jeffrey Seaton, describió los desafíos que implica desarrollar un conjunto de controles esenciales aplicables a todo tipo de naves espaciales de misión debido a su diversidad.
Pappu sugirió seguir una arquitectura modular o de microservicios de controles, que permitiría la personalización para cada misión sin introducir duplicaciones en medidas, controles y enfoques. “El uso de equipos rojos y la realización de evaluaciones de seguridad de terceros son buenas formas para que la NASA mitigue los riesgos de ciberseguridad de altas consecuencias”, añadió Pappu.
No sólo es aconsejable sino necesario tratar la ciberseguridad como un aspecto esencial y no negociable de la estrategia operativa, afirmó Warner. “Al darse cuenta de que las naves espaciales son muy diversas y diferentes de los equipos informáticos terrestres, deberían tratarse como tecnología operativa”.
Esto requiere implementar políticas y estándares de gobernanza bien pensados que incorporen el riesgo único de estos sistemas en todas las plataformas y sistemas interoperables para proteger los controles, la información confidencial, la seguridad de la cadena de suministro, la prevención de pérdidas económicas, la confianza del cliente y la resiliencia contra las amenazas en evolución.
“Estos conjuntos de políticas de gobernanza deben estructurarse con un enfoque que abarque varios niveles de seguridad, cumplimiento y pautas operativas adaptadas a las necesidades y riesgos específicos de las operaciones aeroespaciales en diferentes plataformas para sistemas de apoyo tanto espaciales como terrestres”, dijo Warner.
La IA podría mejorar los esfuerzos de ciberseguridad de la NASA
La detección autónoma de amenazas, anomalías y derivas se encuentran entre las formas en que la inteligencia artificial y el aprendizaje automático (AI/ML) podrían ayudar a reducir los riesgos cibernéticos de la NASA.
La IA podría mejorar significativamente la ciberseguridad al procesar rápidamente grandes conjuntos de datos para detectar anomalías y amenazas de manera más eficiente que los operadores humanos. “La IA también ayuda a responder rápidamente a incidentes al analizar datos para identificar rápidamente las fuentes y la naturaleza del ataque, acelerando la mitigación y reduciendo los daños”, dijo Warner.
Estas tecnologías son multiplicadores de fuerza en las estrategias de seguridad para hacer evolucionar las amenazas, garantizando que las defensas se actualicen en función de datos nuevos.
“La IA también puede proteger las comunicaciones entre la Tierra y las naves espaciales con cifrado automático y detección de anomalías”, dijo Warner.
Crédito de la foto: NASA
Artículos recientes por autor
