Разделы

Бизнес Цифровизация Бизнес-приложения ИТ в госсекторе

NASA потратила $35 млн на бесполезный софт. Кибербезопасность под угрозой

Аудиторская проверка в NASA показала, что агентство за последние пять лет пустило на ветер около $35 млн. Они ушли на бесполезный софт, а также пени и штрафы за его несвоевременную оплату. Это угрожает кибербезопасности организации, предупреждает аудитор. О проблемах сообщалось еще пять лет назад, но исправить ситуацию в агентстве планируют только к 2027 г.

У NASA проблемы с осознанностью в тратах

NASA не хватает общекорпоративной программы управления софтом, пишет издание Nextgov. Внутренняя инспекционная проверка обнаружила, например, «расточительные траты» на неиспользуемые лицензии. Как уточняется в отчете, за последние пять лет агентство потратило почти $15 млн на ненужное ПО, еще $20 млн ушли на штрафы, пени и переплаты за софт.

Отчет генерального инспектора о проверке был опубликован 12 января 2023 г. В нем говорится, что «НАСА не внедрило централизованный инструмент управления программными активами для обнаружения, инвентаризации и отслеживания данных о лицензиях в соответствии с требованиями федеральной политики. Политика NASA по управлению программными активами не является всеобъемлющей или стандартизированной, что оставляет неясными роли, обязанности и процессы».

К чему привели такие траты NASA

Проверяющий в своем отчете пришел к выводу, что организация может подвергнуться рискам кибербезопасности из-за сложившейся практики управления ПО, установил генеральный инспектор агентства.

nasa600.jpg
За последние пять лет NASA потратило почти $15 млн на ненужный софт и еще $20 млн ушли на штрафы и пени, связанные с ПО

Из отчета следует, что при текущих водных NASA находится «в годах» от достижения цели по переходу на централизованную и консолидированную модель корпоративного софта. В то же время такая практика позволила бы успешнее контролировать операции по управлению программными активами и обеспечивать внедрение лучших федеральных практик по кибербезопасности.

«Усилиям по внедрению общекорпоративной программы управления препятствуют как бюджетные, так и кадровые проблемы, а также сложность и объем лицензионных соглашений агентства», — говорится в отчете.

Что делать NASA

Аналитик рекомендовал ряд действий по улучшению процессов связанных с софтом в NASA. Из очевидного, агентству необходимо внедрить единый инструмент для контроля за ПО, а также обзавестись централизованным хранилищем софта, который разрабатывают внутри агентства.

Он также призвал повышать квалификацию персонала, занимающегося ПО и разработать в рамках всего агентства ограничения привилегированного доступа к определенному софту. Также, по мнению инспектора, NASA необходим менеджер по управлению программным обеспечением всего агентства, он должен подчиняться директору по информационным технологиям.

Реакция агентства на проблемы

NASA в целом согласилось с выводами и заявило, что сейчас агентство находится в процессе пилотного запуска корпоративного инструмента управления ПО. Масштабировать его на всю организацию планируется до 2027 г.

Некоторые рекомендации агентство к концу 2023 г. Речь идет о централизации анализа расходов на ПО, новые условия отслеживания нарушений лицензий и штрафных выплат, а также разработку общеагентских процессов для ограничения доступа к определенным информационным ресурсам.

На проблемы закрывают глаза

За последние пять лет инспектор неоднократно выпускал отчеты, в которых указывалось на «повсеместные недостатки» во внутренней работе NASA, методах управления рисками цепочки поставок, а также на «недостаточный прогресс» на пути агентства к улучшению общего управления ИТ.

Как писал CNews в марте 2022 г. аудиторская проверка NASA, показала, что все относящееся к вопросам национальной безопасности и помечено грифами «Конфиденциально», «Секретно» и «Совершенно секретно» достаточно защищено в том числе от инсайдерских угроз.

Однако значительная часть технологической информации в NASA не является засекреченной. Это касается многих «высокозначимых активов и критической инфраструктуры», в том числе научных, инженерных и исследовательских данных, информации о сотрудниках и сведений о материально-техническом снабжении.

Юлия Божко