Ausgelöst durch risikoreiche Cyberangriffe und die anschließende Berichterstattung in der Mainstream-Presse stellt die Bundesregierung neue Anforderungen an die Cybersicherheit kritischer Infrastrukturen.
Ein Juli Memo des Office of Management and Budget (OMB). (PDF) forderte die Behörden in der gesamten Bundesregierung auf, spezifische „Leistungsstandards“ für die Cybersicherheit für ihre jeweiligen Branchen festzulegen – und, was noch wichtiger ist, ein Budget für die „Überprüfung und Bewertung“ der Cyber-Hardening-Pläne der Bundesbehörden bereitzustellen, die von den zu erfüllenden Organisationen erstellt wurden diese neuen Standards.
Benötigt: Überprüfung und Bewertung von Plänen durch den Bund
Dieses Maß an direkter Überwachung erweitert den Ansatz, der heute nur auf die kritischste nationale Infrastruktur angewendet wird – insbesondere das Stromnetz (reguliert durch das Energieministerium, die Federal Energy Reliability Commission und die North American Reliability Corp.) sowie Öl und Gas Pipelines (Department of Homeland Security und Transportation Security Administration) – in allen US-Industrien, auf die die Menschen angewiesen sind, darunter Einzelhandel, Pharmazie, Chemie, Transport und Vertrieb, Lebensmittel und Getränke und viele andere.
Eine Branche, die diese regulatorischen Aktivitäten wahrscheinlich stark zu spüren bekommen und infolgedessen erhebliche Veränderungen erleben wird, ist der Wassersektor. Wasserversorger sind stark anfällig für Cyberangriffe und benötigen dringend aktualisierte – und durchgesetzte – Sicherheitsstandards. Tatsächlich hat die Biden-Regierung kürzlich angedeutet, dass die Environmental Protection Agency (EPA) eine neue Regelung erlassen wird, die Cybersicherheit in die Hygieneüberprüfungen der Wasseranlagen des Landes einbeziehen wird – und zwar weiter Unterstützung höherer Standards in Sachen Cybersicherheit.
Es steht viel auf dem Spiel: Ein typisches kommunales Wasseraufbereitungssystem filtert täglich 16 Millionen Gallonen Wasser, und ein erfolgreicher Hacker könnte die gesamte Wasserversorgung der Gemeinde gefährden. Dies ist keine hypothetische Befürchtung – einer Hackergruppe ist es kürzlich gelungen, eine zu infiltrieren Wasseraufbereitungsanlage in Oldsmar, Florida. Indem sie an der Menge der Lauge im Wasser herumbasteln, gefährden sie eine ganze Stadt. Und vor kurzem hat die Ransomware-Bande Clop das Ziel ins Visier genommen Süd-Staffordshire Wasserversorger im Vereinigten Königreich. Obwohl diese Angriffe nicht immer erfolgreich sind, wurde die Schwere der Risiken deutlich deutlich.
Trotz früherer Versuche, die Sicherheitsstandards für den Wassersektor zu verbessern, bleibt dieser anfällig. Sogar Amerikas Wasserinfrastrukturgesetz von 2018 (AWIA), in dem es heißt, dass Wasserversorger Notfallpläne entwickeln müssen, die sich mit Cybersicherheitsbedrohungen befassen umfassendere Bemühungen zur Verbesserung der gesamten Infrastruktur und Qualitäthat die Cybersicherheitslage der Branche nicht wesentlich verändert. Der Sektor umfasst 50,000 separate Versorgungsunternehmen in den Vereinigten Staaten, von denen die meisten klein sind und von Kommunen verwaltet werden; Diese Fragmentierung, gepaart mit der allgemeinen mangelnden Bereitschaft der Betreiber, bestehende Praktiken aufzugeben, führte dazu, dass der Impuls für Veränderungen nachließ.
Aber Präzedenzfälle zeigen uns, dass Bundesvorschriften, wenn sie richtig umgesetzt werden, einen Unterschied machen können. Wir sehen bereits Fortschritte in einem anderen gefährdeten kritischen Infrastruktursektor: Öl und Gas. Im Anschluss an die hochkarätige Colonial Pipeline Hack Im Jahr 2021 veröffentlichte die Transportation Security Administration (TSA) des Heimatschutzministeriums schnell zwei Sicherheitsrichtlinien, Mit einem Aktualisierung Im Jahr 2022 verdoppelt es seine Bemühungen, einen besseren Schutz der Energieinfrastruktur im ganzen Land zu gewährleisten. In diesen Richtlinien lag der Schwerpunkt auf der Verwaltung von Anmeldeinformationen und der Zugriffskontrolle, zwei Dingen, die dazu beigetragen hätten, den Ransomware-Angriff überhaupt zu verhindern.
Trotz des anfänglichen Widerstands von Pipeline-Eigentümern und -Betreibern führen diese einzigartigen TSA-Anforderungen bereits dazu, dass der gesamte Sektor eine besser geschützte Umgebung schafft. Betreiber setzen jetzt auf Sicherheitsmaßnahmen, die sich auf Proaktivität und Angriffsprävention konzentrieren.
Der Ruf nach Angriffsprävention führt zu mehr Schutz
Der wesentliche Unterschied besteht darin, dass die TSA-Richtlinien erfordern Umsetzungspläne für Cyber Sicherheit, nicht nur zur Erkennung und Reaktion von Vorfällen. Früher waren die Betreiber dazu verpflichtet Risiken zu minimieren
Sie reagierten nicht nur auf Ereignisse im Nachhinein – und als die Bundesregierung ihre Cyber-Schutzpläne überprüfte, begann der Öl- und Gassektor ernsthafte Fortschritte zu machen.
Und jetzt, mit der Anleitung des OMB für Behörden, wird die gleiche direkte Überwachung des Cyberschutzes auch auf andere Sektoren, einschließlich Wasser, übertragen. Mit anderen Worten: Die Entwicklung im Öl- und Gassektor ist ein Hinweis auf die Zukunft anderer kritischer Infrastrukturen.
Der Oldsmar-Hack im Jahr 2021 hat der Welt gezeigt, wie einfach – und wie verheerend – ein Angriff auf eine Wasserpflanze sein kann. Unabhängig von historischen Branchennormen a klarer Bedarf an besserer Cybersicherheit ist aufgetaucht, und es scheint, dass die Regierung bereit ist, aggressiver als je zuvor vorzugehen. Sein weitreichender Vorstoß hin zu einer besseren Sicherheit kritischer Infrastrukturen dürfte der Katalysator sein, den viele Sektoren, wie zum Beispiel die Wasserwirtschaft, dringend benötigt haben.
Anlageneigentümer und -betreiber können die Risiken nicht länger ignorieren; strengere Regulierung ist ein „wann“ und kein „wenn“. Jetzt ist es an der Zeit, eine bessere und modernere Cybersicherheit anzustreben.
