Szeptember 4-én a Fehér Ház kiadta az űriparágra vonatkozó Space Policy Directive – 5 (Űrszabályzat Direktíva) című dokumentumot. Az anyag az amerikai földön folyó űrrepüléssel, kutatással kapcsolatos rendszerek, hálózatok, kommunikációs csatornák IT biztonságának alapelveit tartalmazza.
Az amerikai hatóságok ugyanis joggal attól tartanak, hogy az űriparban aktívan érdekelt állami és magán szervezeteket olyan kibertámadások érhetik, melyek következtében teljesen megbénul az űrtevékenység vagy fizikailag megsemmisülnek például műholdak. A hatóságok szerint a támadók hamisíthatják a szenzorok adatait, megrongálhatják a szenzor-rendszereket, engedély nélküli parancsokat küldhetnek az irányítási és ellenőrzési rendszereken keresztül vagy teljesen meggátolhatják ezek működését.
IT biztonság mindenek előtt
A frissen megjelent direktíva szerint ezeket a kockázatokat a többi iparágban szabványnak számító jó gyakorlattal könnyen kezelni tudják. Például az űrrendszereket eleve úgy kell kigondolni, hogy távolról lehessen őket frissíteni, és ugyancsak távolról tudjanak válaszolni a különböző fenyegetettségekre. Vagyis az űrben közlekedő járműveket már eleve úgy kell tervezni, hogy IT szempontból is biztonságosak legyenek.
A Fehér Ház elvárásai szerint az űrrendszereket és az ezt támogató infrastruktúrát csak olyan mérnökök fejleszthetik, akiknek van kiberbiztonsági képesítésük. Hogy ez a képesítés egy fél éves tréninget takar, vagy IT biztonsági szakemberekből képeznek ezután űrjárműveket tervező mérnököket, nem derül ki.
Autentikáció és titkosítás
Az űrhajó földi ellenőrzésére, utasítására vagy az adatok lekérdezéséhez csakis olyan csatornákat használhatnak, mely védett a zavarás és a jelhamisítás ellen. Az ezeken folyó kommunikáció csakis ellenőrzött autentikációval vagy titkosítással történhet
A direktíva szerint a kiberbiztonsági jó gyakorlatok nem csupán az űrhajóra és a kommunikációs csatornákra vonatkozik. A földi irányító központokat is biztosítani kell, például az IT hálózatok logikai vagy fizikai szegregációjával, rendszeres frissítéssel, a fizikai biztonsági előírások betartatásával, a hordozható adattárolók letiltásával, antivírus megoldás használatával és az alkalmazottak rendszeres képzésével.
De mindez nem elég, hiszen az űrrendszerek biztonságát az ellátási lánc mentén is garantálni kell.
Ez konkrétan azt jelenti, hogy minden egyes külső vállalkozó által gyártott alkatrészt ellenőrizni és követni kell, ellenőrzött és megbízható szállítóval dolgozhatnak. Így időben azonosítják a hamisított vagy kártevő szándékkal épített darabokat, melyek előre nem látható kiberbiztonsági kockázatot teremtenek. Abban az esetben, ha felfedeznek egy fenyegetettséget, akkor azt az iparági partnerekkel egy erre a célra felállított információcserés platformon osztják meg.
És mivel űrhajókról, űrsiklókról beszélünk, a kiberbiztonsági rendszereket és intézkedéseket úgy kell meghozni, hogy az adott küldetés technikai paramétereinek megfeleljen, ne befolyásolja az űrhajó súlyát, méretét, a küldetés időtartamát.
Az amerikai hatóságok ezekkel az intézkedésekkel nemcsak a más államok oldalról érkező támadásokat, hanem a nagyon gyakori, nem állami szereplőktől érkező fenyegetettségek sikerességét is meg szeretnék akadályozni.
Van is mit fejleszteni az amerikai űrprogramokkal kapcsolatos IT biztonságon, hiszen nemrég a NASA egyik laboratóriumában közel egy évig nem vették észre, hogy valaki betört a rendszerbe.