„Shields Ready“-Initiative für kritische Infrastrukturen bekämpft unvermeidliche Cyberangriffe

Die US-Regierung hat eine Reihe von Vorschriften erlassen, um Betreiber kritischer Infrastrukturen auf Katastrophen, physische Angriffe und Cyberangriffe vorzubereiten, wobei der Schwerpunkt auf der Fähigkeit liegt, sich nach Störungen in der Zukunft zu erholen.

Die Initiative mit dem Namen „Shields Ready“ zielt darauf ab, 16 identifizierte kritische Infrastruktursektoren davon zu überzeugen, in die Absicherung ihrer Systeme und Dienste gegen Störungen jeglicher Art zu investieren, unabhängig von deren Ursache. Die Bemühungen, die sowohl von der Cybersecurity and Infrastructure Security Agency (CISA) als auch der Federal Emergency Management Agency (FEMA) angeführt werden, gehen davon aus, dass es zu Angriffen und Katastrophen kommen wird, und fordern die Betreiber kritischer Infrastrukturen auf, sich darauf vorzubereiten, die Dienste am Laufen zu halten.

Die Vernetzung der 16 kritischen Infrastruktursektoren und der Lieferkette, auf die sie angewiesen sind, bedeutet, dass Vorbereitung von entscheidender Bedeutung ist, sagte Jen Easterly, Direktorin von CISA.

„Die kritischen Infrastruktureinrichtungen unseres Landes – von Schulen über Krankenhäuser bis hin zu Wasserversorgungsanlagen – müssen über die Werkzeuge und Ressourcen verfügen, um auf Störungen zu reagieren und sich von ihnen zu erholen“, sagte sie sagte in einer Erklärung. „Indem wir heute Maßnahmen ergreifen, um uns auf Vorfälle vorzubereiten, können kritische Infrastrukturen, Gemeinden und Einzelpersonen besser darauf vorbereitet sein, sich von den Auswirkungen der Bedrohungen von morgen und in der Zukunft zu erholen.“

Die Gefahren für kritische Infrastrukturen haben in den letzten Jahren zugenommen, mit Störungen durch schwere Katastrophen – wie die Waldbrände in Kalifornien und die Coronavirus-Pandemie – und Cyberangriffe. In den letzten fünf Jahren beispielsweise der Pharmakonzern Merck einen größeren Ausfall erlitten wegen des NotPetya-Cyberangriffs im Jahr 2017, während in diesem Jahr der Konkurrent Pfizer erlitt einen Tornadoangriff in einem großen Lagerhaus, das zu Unterbrechungen bei der Versorgung mit bestimmten Medikamenten führte. Und bekanntlich im Mai 2021 der US-Pipelinebetreiber Colonial Pipeline einen Ransomware-Angriff erlitten, stellte seine Dienste für eine Woche ein, was zu Gasknappheit im gesamten Südosten der USA führte.

Eine frühere Kampagne namens „Shields Up“ konzentrierte sich darauf, kritische Infrastrukturorganisationen davon zu überzeugen, als Reaktion auf bestimmte Bedrohungsinformationen Abwehrmaßnahmen zu ergreifen. Bei Shields Ready geht es darum, sich umfassend auf das Schlimmste vorzubereiten, sagt Michael Hamilton, Mitbegründer und CISO von Critical Insight, einem Beratungsunternehmen für Cybersicherheit.

„Die verborgene Botschaft hier ist, dass es kommt, und wenn man sich auf der Welt umschaut, ist es nicht so schwer vorherzusagen“, sagt er und verweist auf die regelmäßigen Warnungen des FBI und der CISA an Anbieter industrieller Kontrolle und kritischer Infrastruktur. „Es ist nicht schwer, zwei und zwei zusammenzuzählen und zu sagen: Sie wissen, dass die Bedrohungslage durch Infrastrukturunterbrechungen gestiegen ist.“

Politische Initiativen für Shields Ready

Ein Problem für die Initiative besteht darin, dass viele der aktuellen Empfehlungen freiwillig und informativ sind. Seit November ist CISA zum „Monat der Sicherheit und Belastbarkeit kritischer Infrastrukturen“ ernannt hat ein Toolkit veröffentlicht für Anbieter kritischer Infrastrukturen ein 15-seitiges Dokument, das spezifische Bedrohungen, Sicherheitsherausforderungen und Selbstbewertungsübungen abdeckt. Auch die Agentur veröffentlicht das Infrastructure Resilience Planning Framework (IRPF) und Leitfäden zur Entwicklung einer widerstandsfähigen Lieferkette und zur Reaktion auf einen Cyberangriff.

Dennoch mangelt es dem Vorhaben an regulatorischer Durchschlagskraft, sagt Tom Guarente, Vizepräsident für Regierungsangelegenheiten bei Armis, einem Sicherheitsunternehmen für operative Technologie (OT).

„In Wirklichkeit scheint es darum zu gehen, Resilienz aufzubauen, indem man mit dem Situationsbewusstsein beginnt und über die Bedeutung des Informationsaustauschs zwischen öffentlichen und privaten Stellen spricht“, sagt er. „Sie sagen, es gäbe ein Toolkit, aber das Toolkit scheint größtenteils aus Richtlinien zu bestehen – Sie wissen schon, PDF-Dokumenten. Die kurze Antwort lautet also: Ich weiß nicht, was aus der Shields Ready-Kampagne herauskommen wird.“

Dennoch ist es wahrscheinlich unmöglich, unter dem Dach von Shields Ready allgemeine Richtlinien für alle 16 kritischen Infrastruktursektoren zu entwickeln, daher ist es nicht verwunderlich, dass es dem ersten Versuch an Details mangelt, sagt Danielle Jablanski, OT-Cybersicherheitsstrategin bei Nozomi Networks, einem Anbieter von Cybersicherheit für OT Netzwerke. Jeder kritische Infrastruktursektor verfügt über einen Agentur für Sektorrisikomanagement In der Regel handelt es sich dabei um das Department of Homeland Security, aber in manchen Fällen ist das Department of Energy, Defense, Health and Human Services oder Transportation die designierte SRMA, die sektorspezifische Richtlinien und Anforderungen erlassen wird.

„Ich denke, die Regierung befindet sich heute eher im Prüfungsmodus“, sagt sie. „Es ist wichtig, sich daran zu erinnern, dass kritische Infrastrukturen nicht monolithisch sind. Es gibt keinen einheitlichen Sicherheitsplan, kein einheitliches Programm oder keine einheitlichen Kontrollmaßnahmen, von denen alle 16 Sektoren gleichermaßen profitieren.“

Förderung der Sicherheit kritischer Infrastrukturen: Zuckerbrot oder Peitsche?

Bei diesen Bemühungen scheint es größtenteils nur darum zu gehen, Führungskräfte der Branche mit ins Boot zu holen. Da Sicherheit weiterhin eine Kostenstelle ist – die Steuer der Geschäftstätigkeit – möchten Unternehmen diese Ausgaben natürlich minimieren, weshalb wahrscheinlich Strafmaßnahmen erforderlich sein werden, um viele der Empfehlungen umzusetzen, sagt Hamilton von Critical Insight.

Führungskräfte für die Leistung ihres Unternehmens während einer Katastrophe oder eines Cyberangriffs haftbar machen – z die Anklage gegen den CISO von SolarWinds – sei bereits ein böses Erwachen für die Branche gewesen, sagt er.

„Nachdem ich Senatoren, Generäle und Gouverneure informiert habe, habe ich herausgefunden, dass man über gruselige Russen, Lieferketten, Pufferüberläufe und SQL-Injection so viel reden kann, wie man will, und man wird einfach nur die Augen verdrehen“, sagt Hamilton. „Aber sobald man ‚Fahrlässigkeit der Geschäftsleitung‘ sagt, hat man ein Publikum. Das ist genau das, was die Regierung tut – sie wird die Führungsspitze als fahrlässig bezeichnen und das erregt die Aufmerksamkeit aller.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks