Содержание:
У NASA проблемы с осознанностью в тратах
NASA не хватает общекорпоративной программы управления софтом, пишет издание Nextgov. Внутренняя инспекционная проверка обнаружила, например, «расточительные траты» на неиспользуемые лицензии. Как уточняется в отчете, за последние пять лет агентство потратило почти $15 млн на ненужное ПО, еще $20 млн ушли на штрафы, пени и переплаты за софт.
Отчет генерального инспектора о проверке был опубликован 12 января 2023 г. В нем говорится, что «НАСА не внедрило централизованный инструмент управления программными активами для обнаружения, инвентаризации и отслеживания данных о лицензиях в соответствии с требованиями федеральной политики. Политика NASA по управлению программными активами не является всеобъемлющей или стандартизированной, что оставляет неясными роли, обязанности и процессы».
К чему привели такие траты NASA
Проверяющий в своем отчете пришел к выводу, что организация может подвергнуться рискам кибербезопасности из-за сложившейся практики управления ПО, установил генеральный инспектор агентства.
За последние пять лет NASA потратило почти $15 млн на ненужный софт и еще $20 млн ушли на штрафы и пени, связанные с ПО
Из отчета следует, что при текущих водных NASA находится «в годах» от достижения цели по переходу на централизованную и консолидированную модель корпоративного софта. В то же время такая практика позволила бы успешнее контролировать операции по управлению программными активами и обеспечивать внедрение лучших федеральных практик по кибербезопасности.
«Усилиям по внедрению общекорпоративной программы управления препятствуют как бюджетные, так и кадровые проблемы, а также сложность и объем лицензионных соглашений агентства», — говорится в отчете.
Что делать NASA
Аналитик рекомендовал ряд действий по улучшению процессов связанных с софтом в NASA. Из очевидного, агентству необходимо внедрить единый инструмент для контроля за ПО, а также обзавестись централизованным хранилищем софта, который разрабатывают внутри агентства.
Он также призвал повышать квалификацию персонала, занимающегося ПО и разработать в рамках всего агентства ограничения привилегированного доступа к определенному софту. Также, по мнению инспектора, NASA необходим менеджер по управлению программным обеспечением всего агентства, он должен подчиняться директору по информационным технологиям.
Реакция агентства на проблемы
NASA в целом согласилось с выводами и заявило, что сейчас агентство находится в процессе пилотного запуска корпоративного инструмента управления ПО. Масштабировать его на всю организацию планируется до 2027 г.
Некоторые рекомендации агентство к концу 2023 г. Речь идет о централизации анализа расходов на ПО, новые условия отслеживания нарушений лицензий и штрафных выплат, а также разработку общеагентских процессов для ограничения доступа к определенным информационным ресурсам.
На проблемы закрывают глаза
За последние пять лет инспектор неоднократно выпускал отчеты, в которых указывалось на «повсеместные недостатки» во внутренней работе NASA, методах управления рисками цепочки поставок, а также на «недостаточный прогресс» на пути агентства к улучшению общего управления ИТ.
Как писал CNews в марте 2022 г. аудиторская проверка NASA, показала, что все относящееся к вопросам национальной безопасности и помечено грифами «Конфиденциально», «Секретно» и «Совершенно секретно» достаточно защищено в том числе от инсайдерских угроз.
Однако значительная часть технологической информации в NASA не является засекреченной. Это касается многих «высокозначимых активов и критической инфраструктуры», в том числе научных, инженерных и исследовательских данных, информации о сотрудниках и сведений о материально-техническом снабжении.
