Den amerikanske regering har udstedt en række recepter til at forberede kritiske infrastrukturoperatører på katastrofer, fysiske angreb og cyberangreb med vægt på evnen til at komme sig efter forstyrrelser i fremtiden.
Initiativet, kaldet "Shields Ready", har til formål at overbevise 16 identificerede kritiske infrastruktursektorer til at investere i at hærde deres systemer og tjenester mod enhver forstyrrelse, uanset kilden. Indsatsen, der ledes af både Cybersecurity and Infrastructure Security Agency (CISA) og Federal Emergency Management Agency (FEMA), antager, at angreb og katastrofer vil ske, og opfordrer kritiske infrastrukturoperatører til at forberede sig på at holde tjenesterne kørende.
Sammenhængen mellem de 16 kritiske infrastruktursektorer og forsyningskæden, som de er afhængige af, betyder, at beredskabet er kritisk, sagde Jen Easterly, direktør for CISA.
"Vores nations kritiske infrastrukturenheder - fra skoler til hospitaler til vandfaciliteter - skal have værktøjerne og ressourcerne til at reagere på og komme sig efter forstyrrelser," hun sagde i en erklæring. "Ved at tage skridt i dag for at forberede sig på hændelser, kan kritisk infrastruktur, lokalsamfund og enkeltpersoner være bedre forberedt til at komme sig over virkningen af morgendagens trusler og ind i fremtiden."
Farerne for kritisk infrastruktur er steget i de senere år, med forstyrrelser forårsaget af alvorlige katastrofer - såsom naturbrandene i Californien og coronavirus-pandemien - og cyberangreb. I de seneste fem år har for eksempel medicinalfirmaet Merck led af et større afbrydelse på grund af NotPetya-cyberangrebet i 2017, mens konkurrenten Pfizer i år blev ramt af et tornadoangreb på et større lager, der forårsagede forstyrrelser i forsyningen af visse lægemidler. Og berømt, i maj 2021, den amerikanske rørledningsoperatør Colonial Pipeline blev ramt af et ransomware-angreb, lukkede sine tjenester i en uge, hvilket førte til gasmangel i hele det sydøstlige USA.
En tidligere kampagne, kendt som "Shields Up", fokuserede på at overbevise kritiske infrastrukturorganisationer til at tage defensive handlinger som reaktion på specifikke trusselsefterretninger. Shields Ready handler om at forberede sig på det værste over hele linjen, siger Michael Hamilton, medstifter og CISO af Critical Insight, en cybersikkerhedskonsulentvirksomhed.
"Det skjulte budskab her er, det kommer, og ser man rundt i verden, er det ikke så svært at forudsige," siger han og peger på regelmæssige FBI- og CISA-advarsler til industriel kontrol og udbydere af kritisk infrastruktur. "Det er ikke svært at sætte to og to sammen og sige, du ved, at trusselsniveauet er steget for forstyrrelse af infrastruktur."
Politiske initiativer for Shields Ready
Et problem for initiativet er, at mange af de nuværende anbefalinger er frivillige og informative. Siden november er blevet udpeget som "Critical Infrastructure Security and Resilience Month," CISA udgivet et værktøjssæt for udbydere af kritisk infrastruktur, et 15-siders dokument, der dækker specifikke trusler, sikkerhedsudfordringer og selvevalueringsøvelser. Agenturet også offentliggjort Infrastructure Resilience Planning Framework (IRPF) og guider til, hvordan man udvikler en modstandsdygtig forsyningskæde, og hvordan man reagerer på et cyberangreb.
Alligevel mangler indsatsen regulatoriske tænder, siger Tom Guarente, vicepræsident for regeringsanliggender hos Armis, et sikkerhedsfirma for operationel teknologi (OT).
"Det, det ser ud til at handle om, er at opbygge modstandskraft i forhold til at starte med situationsbevidsthed og tale om vigtigheden af at dele information mellem offentlige og private enheder," siger han. "De siger, at der er et værktøjssæt, og men værktøjskassen ser ud til at bestå hovedsageligt af retningslinjer - du ved, PDF-dokumenter. Så det korte svar er, jeg ved ikke, hvad der kommer ud af Shields Ready-kampagnen.”
Alligevel er det sandsynligvis umuligt at komme med generelle retningslinjer under paraplyen Shields Ready til alle 16 kritiske infrastruktursektorer, så det er ikke overraskende, at den indledende indsats mangler detaljer, siger Danielle Jablanski, OT cybersecurity strateg hos Nozomi Networks, en udbyder af cybersikkerhed til OT netværk. Hver kritisk infrastruktursektor har en Sektor Risikostyringsstyrelsen - typisk Department of Homeland Security, men i nogle tilfælde er Department of Energy, Defense, Health and Human Services eller Transportation den udpegede SRMA - der vil udarbejde sektorspecifikke retningslinjer og krav.
"Jeg tror, at regeringen er mere i en revisionstilstand i dag," siger hun. "Det er vigtigt at huske, at kritisk infrastruktur ikke er monolitisk, der er ingen ensartet sikkerhedsplan, -program eller kontrolsæt, der gavner alle 16 sektorer på samme måde."
Fremme af kritisk infrastruktursikkerhed: Gulerod eller pind?
Disse bestræbelser ser for det meste ud til at tage et let strejf i retning af at få industriledere med om bord. Fordi sikkerhed fortsat er et omkostningscenter - skatten ved at drive forretning - ønsker virksomheder naturligvis at minimere disse udgifter, hvilket er grunden til, at straffeforanstaltninger sandsynligvis vil være nødvendige for at få mange af anbefalingerne implementeret, siger Critical Insights Hamilton.
Holder ledere ansvarlige for deres virksomheds resultater under en katastrofe eller et cyberangreb — som f.eks. anklagerne mod SolarWinds CISO — har allerede været en uhøflig opvågning for branchen, siger han.
"Efter at have briefet senatorer, generaler og guvernører, har jeg fundet ud af, at du kan tale om skræmmende russere, forsyningskæder, bufferoverløb og SQL-indsprøjtning alt, hvad du vil, og du vil bare få øjenrullende," siger Hamilton. "Men så snart du siger 'udøvende uagtsomhed', har du et publikum. Det er præcis, hvad regeringen gør - de vil holde den udøvende ledelse som uagtsom, og det får alles opmærksomhed."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- :har
- :er
- :ikke
- $OP
- 16
- 2017
- 2021
- 7
- a
- evne
- Om
- tværs
- Handling
- aktioner
- adresser
- Anliggender
- mod
- agentur
- målsætninger
- Alle
- allerede
- også
- an
- ,
- og infrastruktur
- besvare
- enhver
- vises
- kommer til syne
- ER
- omkring
- AS
- antager
- At
- Angreb
- opmærksomhed
- publikum
- revision
- bevidsthed
- BE
- fordi
- været
- fordele
- Bedre
- mellem
- board
- både
- buffer
- Bygning
- virksomhed
- men
- by
- california
- Opkald
- Kampagne
- CAN
- tilfælde
- forårsagede
- center
- vis
- kæde
- kæder
- udfordringer
- afgifter
- CISO
- Medstifter
- Kom
- kommer
- Fællesskaber
- Virksomheder
- selskab
- konkurrent
- rådgivning
- fortsætter
- kontrol
- kontrol
- overbevise
- coronavirus
- Coronavirus-pandemi
- Koste
- dækker
- kritisk
- Kritisk infrastruktur
- Nuværende
- Cyber angreb
- cyberangreb
- Cybersecurity
- farer
- Danielle
- Forsvar
- defensiv
- Afdeling
- afdeling for indenrigssikkerhed
- udpeget
- detaljer
- udvikle
- Direktør
- katastrofe
- katastrofer
- Forstyrrelse
- forstyrrelser
- dokumentet
- dokumenter
- gør
- Don
- ned
- Narkotika
- døbt
- i løbet af
- hver
- indsats
- indsats
- nødsituation
- vægt
- energi
- enheder
- alle
- præcist nok
- eksempel
- udøvende
- ledere
- faciliteter
- berømt
- FBI
- Federal
- Firm
- fem
- fokuserede
- Til
- fundet
- Framework
- fra
- fremtiden
- GAS
- Generelt
- få
- få
- gå
- gået
- Regering
- retningslinjer
- Guides
- Hamilton
- ske
- Hård Ost
- Have
- have
- he
- Helse
- link.
- Skjult
- hold
- hjemland
- Homeland Security
- sygehuse
- Hvordan
- How To
- HTML
- HTTPS
- menneskelig
- i
- identificeret
- KIMOs Succeshistorier
- implementeret
- betydning
- vigtigt
- umuligt
- in
- øget
- enkeltpersoner
- industrielle
- industrien
- uundgåelige
- oplysninger
- Informational
- Infrastruktur
- initial
- initiativ
- initiativer
- indsigt
- Intelligens
- ind
- Invest
- Udstedt
- IT
- ITS
- jen
- jpg
- lige
- Holde
- Kend
- kendt
- Leadership" (virkelig menneskelig ledelse)
- Led
- Niveau
- lys
- Sandsynlig
- leder
- lavet
- større
- lave
- ledelse
- mange
- Matter
- Kan..
- midler
- besked
- Michael
- tilstand
- Monolithic
- Måned
- mere
- mest
- for det meste
- skal
- nation
- nødvendig
- net
- ingen
- november
- of
- on
- operationelle
- operatør
- Operatører
- or
- organisationer
- vores
- ud
- pandemi
- del
- forbi
- ydeevne
- Pfizer
- Pharmaceutical
- fysisk
- pipeline
- fly
- planlægning
- plato
- Platon Data Intelligence
- PlatoData
- forudsige
- Forbered
- forberedt
- forberede
- præsident
- tidligere
- private
- den private sektor
- Problem
- Program
- udbyder
- udbydere
- offentlige
- sætte
- ransomware
- RE
- reaktion
- klar
- virkelig
- nylige
- anbefalinger
- Recover
- fast
- lovgivningsmæssige
- stole
- huske
- Krav
- modstandskraft
- elastisk
- Ressourcer
- Svar
- Risiko
- risikostyring
- kører
- Russerne
- s
- Sikkerhed
- Said
- samme
- siger
- siger
- Skoler
- sektor
- sektorspecifik
- Sektorer
- sikkerhed
- SENATORER
- Series
- Tjenester
- sæt
- svær
- deling
- hun
- Kort
- mangel
- lukker ned
- siden
- So
- nogle
- snart
- Kilde
- sydøst
- stået i spidsen
- specifikke
- Starter
- Stater
- Steps
- Strateg
- sådan
- forsyne
- forsyningskæde
- Forsyningskæder
- Systemer
- Tag
- tager
- Tal
- taler
- skat
- Teknologier
- vilkår
- at
- Fremtiden
- Initiativet
- The Source
- verdenen
- deres
- Der.
- de
- tror
- denne
- i år
- dem
- trussel
- trusler
- hele
- til
- i dag
- sammen
- tome
- i morgen
- toolkit
- værktøjer
- tornado
- mod
- transport
- to
- typisk
- paraply
- under
- Forenet
- Forenede Stater
- us
- os regering
- Ve
- vice
- Vice President
- frivillig
- ønsker
- Vand
- uge
- Hvad
- som
- mens
- hvorfor
- vilje
- med
- world
- Værst
- år
- år
- Du
- zephyrnet
