Udløst af højrisiko-cyberangreb og efterfølgende mainstream-pressedækning bevæger den føderale regering sig mod nye krav til kritisk infrastruktur-cybersikkerhed.
En juli Office of Management and Budget (OMB) notat (PDF) opfordrede agenturer på tværs af den føderale regering til at etablere specifikke "ydeevnestandarder" for cybersikkerhed for deres respektive industrier - og, endnu mere væsentligt, at budgettere for føderale agenturers "gennemgang og vurdering" af cyberhærdende planer udarbejdet af organisationer, der skal opfylde de nye standarder.
Nødvendig: Føderal gennemgang og vurdering af planer
Dette niveau af direkte overvågning udvider den tilgang, der i dag kun anvendes til den mest kritiske nationale infrastruktur - især det elektriske net (reguleret af Department of Energy, Federal Energy Reliability Commission og North Amerian Reliability Corp.) og olie og gas rørledninger (Department of Homeland Security og Transportation Security Administration) - på tværs af hele rækken af amerikanske industrier, som folk er afhængige af, herunder detailhandel, farmaceutiske produkter, kemikalier, transport og distribution, mad og drikke og mange andre.
En industri, der sandsynligvis vil mærke denne reguleringsaktivitet stærkt og se væsentlige ændringer som følge heraf, er vandsektoren. Vandværkerne er stærkt sårbare over for cyberangreb og har et presserende behov for fornyede - og håndhævede - sikkerhedsstandarder. Faktisk antydede Biden-administrationen for nylig, at Environmental Protection Agency (EPA) er indstillet på at udstede en ny regel, der vil inkludere cybersikkerhed i sanitetsgennemgange af landets vandfaciliteter - yderligere understøtter højere standarder, når det kommer til cybersikkerhed.
Indsatsen er høj: Et typisk kommunalt vandbehandlingssystem filtrerer 16 millioner gallons vand hver dag, og en succesfuld hacker kan ødelægge hele samfundets vandforsyning. Dette er ikke en hypotetisk frygt - en hackergruppe formåede for nylig at infiltrere en vandbehandlingssystem i Oldsmar, Fla. Ved at pille ved mængden af lud i vandet satte de en hel by i fare. Og for nylig var Clop ransomware-banden målrettet mod South Staffordshire vandværk i Storbritannien. Selvom disse angreb ikke altid lykkes, er alvoren af risiciene blevet gjort helt klart.
På trods af tidligere forsøg på at forbedre sikkerhedsstandarderne for vandsektoren er den fortsat sårbar. Også selvom America's Water Infrastructure Act af 2018 (AWIA), som erklærede, at vandværker skal udvikle nødberedskabsplaner, der adresserer cybersikkerhedstrusler som en del af en en bredere indsats for at forbedre den overordnede infrastruktur og kvalitet, ændrede ikke væsentligt cybersikkerhedspositionen for branchen. Sektoren omfatter 50,000 separate forsyningsselskaber i USA, hvoraf de fleste er små og administreres af kommuner; denne fragmentering, kombineret med generel uvilje fra operatørernes side til at opgive eksisterende praksis, tillod fremdriften til at forandringen forsvandt.
Men præcedens fortæller os, at føderale regler kan gøre en forskel, når de gøres rigtigt. Vi ser allerede fremskridt i en anden sårbar kritisk infrastruktursektor: olie og gas. Efter den højprofilerede Colonial Pipeline hack i 2021 frigav Department of Homeland Security's Transportation Security Administration (TSA) hurtigt to SikkerhedsdirektiverMed en opdatering i 2022, hvilket fordobler indsatsen for at sikre bedre beskyttelse af energiinfrastruktur på landsplan. Disse direktiver understregede legitimationsstyring og adgangskontrol, to ting, der ville have hjulpet med at blokere ransomware-angrebet i første omgang.
På trods af det første tilbageslag fra rørledningsejere og operatører, fører disse første af deres slags TSA-krav allerede hele sektoren mod et mere beskyttet miljø. Operatører læner sig nu ind i sikkerhedsforanstaltninger centreret omkring proaktivitet og angrebsforebyggelse.
Opfordring til angrebsforebyggelse fører til mere beskyttelse
Den vigtigste forskel her er, at TSA-direktiver kræver implementeringsplaner til cyber beskyttelse, ikke kun til hændelsesopdagelse og -respons. Når operatørerne var forpligtet til beskytte
sig selv, ikke blot reagere på begivenheder efter kendsgerningen - og da den føderale regering var ved at gennemgå deres cyberbeskyttelsesplaner - begyndte olie- og gassektoren for alvor at bevæge sig.
Og nu, med OMB's vejledning til agenturer, vil det samme direkte tilsyn med cyberbeskyttelse også komme til andre sektorer, herunder vand. Med andre ord er bevægelsen inden for olie og gas et fingerpeg om, hvad der er i vente for anden kritisk infrastruktur.
Oldsmar-hacket fra 2021 viste verden, hvor nemt - og hvor ødelæggende - et angreb på en vandplante kan være. Uanset historiske industrinormer, en klart behov for bedre cybersikkerhed er dukket op, og det ser ud til, at regeringen er parat til at gå mere aggressivt frem end nogensinde. Dets brede skub mod bedre sikkerhed for kritisk infrastruktur er klar til at blive den katalysator, som mange sektorer, såsom vand, har desperat brug for.
Anlægsejere og operatører kan ikke længere ignorere risiciene; tungere regulering er et "hvornår", ikke et "hvis". Nu er det tid for dem at forfølge bedre og mere moderne cybersikkerhed.
