專門監督美國國會並負責調查美國各式服務的美國政府審計辦公室(Government Accountability Office, GAO)於3/2公布一份調查報告,指稱美國聯邦航空總署(Federal Aviation Administration, FAA)的美國領空系統(National Airspace System, NAS)含有許多漏洞,必須採取行動以避免來自網路或其他管道的安全威脅。GAO指出,FAA應該避免或偵測未經授權的電腦資源存取,包括保護系統邊界、辨識,及認證使用者,授權使用者存取系統,將機密資料予以加密,以及偵測FAA系統上的各種活動。此外,在較不安全的系統與NAS系統之間界線保護控制的缺乏更加劇了上述漏洞的安全風險。
該報告列舉了FAA安全上的各種缺失,表示NAS系統仍存在許多的安全控制漏洞,特別是其中用來保護系統機密、完整,及可用性的技術控制,包含存取控制、變更控制,及修補管理等。另一方面,GAO亦指責FAA並未完全遵循美國的聯邦資訊安全管理法案(Federal Information Security Management Act of 2002),未能確實全面導入資訊安全專案,包括沒能充份測試安全控制,也沒能適時確認安全問題,亦未有系統毀損後回復系統運作的妥善測試計畫。而且負責NAS系統安全的團隊無法完全存取所有系統安全相關紀錄,也限制了FAA偵測與回應安全意外的能力。
GAO表示,FAA的安全控制與安全專案含有漏洞的其中一個原因為FAA並未依據該組織的任務來建立一個完整且全面的機制來管理其資訊安全風險,並建議FAA應全面實施其資訊安全專案,否則這些漏洞將會繼續存在,置美國的空中交通管制系統於不必要的風險之中。此份報告公開後,美國國會已立即要求FAA針對GAO報告內所指出的缺失進行說明及提出補救措施。