2020年12月，美國SolarWinds駭客攻擊事件，範圍影響全美政府單位和私人企業，甚至遍及全球，此事件突顯出機關單位擁有堅實資安防禦體系的重要性。趨勢科技2020年度資安報告指出，政府機關、銀行、製造業及醫療業是2020年遭受勒索病毒攻擊最嚴重的產業，推測其為對抗Covid-19的重要產業，使勒索病毒集團加強攻擊這些關鍵產業的攻擊力道^[註]。

NASA高調的太空任務，以及和公眾、教育機構、外部研究機構的廣泛聯繫，使之相較於其他政府機關更容易成為駭客攻擊的潛在目標。有鑑於此，NASA太空總署總檢察辦公室(NASA Office of Inspector General)於2021年5月發布「NASA網路安全準備度(NASA’s  Cybersecurity Readiness)」報告，該報告以檢視相關法律規範、訪問NASA資訊長辦公室(Office of the Chief Information Officer, OCIO)人員、檢視NASA機構文件等方式，並參照美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的網路安全框架、網際網路安全中心(Center for Internet Security, CIS)的20大安全控制，以及美國聯邦的企業架構等，藉此評估NASA是否已做好充分準備來面對網路安全威脅，本文將簡述NASA所面臨的網路安全風險及其應對之道。

一、NASA面臨的網路安全風險與管理

NASA管理著3,000個網站和超過42,000個公開資料集，過去4年中，NASA經歷超過6,000件網路攻擊，報告中統計NASA過去所遭受的網路攻擊類型，如表一，包括網路釣魚詐騙及惡意軟體攻擊，其中以「不當使用(Improper Usage)」增加最多，從2017年249件至2020年1,103件，增長343%。受Covid-19疫情影響，使NASA的員工轉向遠距辦公，IT設備的數量和種類大增，進而使NASA面臨更大的網路安全挑戰。

NASA的資訊技術(IT)資產大致可分為「機構系統」與「任務系統」兩類。「機構系統」支持NASA員工日常工作，如：網路、數據中心、網頁服務、桌機和筆電及電子郵件等；「任務系統」支援NASA的航空、科學及太空探索計畫，並管理控制太空飛行器、蒐集科學數據、執行重要任務的IT系統。而NASA主要以三個層面劃分上述的IT資產和網路安全管理執掌，如下：

(一)機構網路管理

NASA資訊長辦公室(Office of the Chief Information Officer, OCIO)，主要位於NASA總部，負責資訊技術和支持NASA整體系統的安全功能，OCIO中的網路安全和隱私部(Cybersecurity & Privacy Division, CSPD)約有120名員工，負責持續監控網路安全基礎設施、管理網路安全和隱私風險、制訂網路安全政策及管理安全運營中心(Security Operations Center, SOC)，同時CSPD還負責發展、實施及維護NASA的企業安全架構(Enterprise Security Architecture, ESA)。

(二)基於任務的網路管理

NASA有四個任務部門，分別為航空研究、人類探索和運營、科學，以及太空技術，每個部門由一位副行政官(associate administrator)負責其網路管理。各部門資助各自的電腦網路和IT人員。在大部分的情況中，任務部門人員比起OCIO人員對於任務型的網路安全更有掌握權。

(三)基於中心的網路管理

每位NASA的中心主任負責管理各自的中心運作，其中包含機構和任務的IT系統。值得注意的是，NASA OCIO沒有中心網路運營的直接控制權，而是由中心資訊長辦公室(Center Chief Information Security Officer, CISO)負責其網路安全。

過去幾年，OCIO持續致力於NASA的網路安全及IT治理，於2019年9月更新其IT戰略計畫，此外，透過任務支持未來架構計畫(Mission Support Future Architecture Program, MAP)和網路安全和隱私企業解決方案和服務(Cybersecurity and Privacy Enterprise Solutions and Services, CyPrESS)契約來促進NASA的IT運營模式。

二、NASA的網路安全準備評估與建議

NASA太空總署總檢察辦公室認為儘管NASA對於網路安全採取積極的態度，包括網路監控、身份管理，並於2019年更新了IT戰略計畫，但仍應持續強化基礎網路安全工作，報告指出可能造成NASA資安風險與漏洞，並以此提出建言，如下：

(一)NASA的預防、檢測和緩解網路攻擊的能力受限於混亂的企業架構

該報告檢查了NASA兩種IT管理方法：企業架構(Enterprise Architecture, EA)和企業安全架構(Enterprise Security Architecture, ESA)。EA是一種IT資產、業務流程和治理原則的藍圖，描述組織現在及未來營運資訊技術系統的方式，以建立統一和標準化的軟硬體環境。NASA EA的首要任務是協調機構的所有業務、財務、科學和工程需求，以支援其任務和促進整體的IT績效。ESA為EA的子類，是一種管理網路安全的能力、政策與流程之框架。

儘管企業架構已在NASA發展了十多年，但仍然不完備，例如NASA的網路安全管理由OCIO中CSPD部門負責，但由於組織的劃分使其他多個組也執行同樣的工作和服務。而EA分屬企業服務和整合部門(Enterprise Services and Integration Division)和ESA則由網路安全和隱私部CSPD負責，不同部門執掌也是一個問題，該報告認為此類組織結構使網路安全有效性管理變得複雜，建議對EA和ESA的管理方式應正式整合，並發展指標來追蹤EA的整體進展和有效性。

(二)NASA評估和授權(A&A)IT系統的程序在整個組織中是不一致和無效的

NASA在評估與授權(Assessment and Authorization, A&A)IT系統程序是不一致和無效的，直接原因可能與NASA分散式的網路安全管理有關，建議針對NASA的526個系統進行A&A成本評估，而NASA規劃引進CyPrESS契約，其為一個廣泛的網路安全管理契約，目的為消除重複的網路服務，以更有效的保護其IT系統。

三、結語

除了美國SolarWinds駭客攻擊事件外，近期美國最大燃油輸送公司Colonial Pipeline 被網路駭客勒索等資安事件頻仍，造成嚴重的財物損失，甚至危及國家安全，突顯出提升國家關鍵基礎設施網路安全的重要性。借鏡NASA建立一套完備的網路安全治理模式及監管制度，以防止駭客可能造成國家安全威脅與經濟危機。

[註]資料來源：https://documents.trendmicro.com/assets/rpt/rpt-a-constant-state-of-flux.pdf