Ο Τομέας του Νερού θα επωφεληθεί από την πρόσκληση για Cyber ​​Hardening της υποδομής ζωτικής σημασίας

Πυροδοτούμενη από επιθέσεις στον κυβερνοχώρο υψηλού κινδύνου και την επακόλουθη δημοσιογραφική κάλυψη, η ομοσπονδιακή κυβέρνηση κινείται προς νέες απαιτήσεις για την ασφάλεια στον κυβερνοχώρο υποδομών ζωτικής σημασίας.

Ένας Ιούλιος Υπόμνημα του Γραφείου Διαχείρισης και Προϋπολογισμού (OMB). (PDF) κάλεσε τις υπηρεσίες σε όλη την ομοσπονδιακή κυβέρνηση να θεσπίσουν συγκεκριμένα «πρότυπα απόδοσης» κυβερνοασφάλειας για τις αντίστοιχες βιομηχανίες τους — και, ακόμη πιο σημαντικό, να συνεισφέρουν στον προϋπολογισμό για την «επανεξέταση και αξιολόγηση» σχεδίων σκληρύνσεως στον κυβερνοχώρο της ομοσπονδιακής υπηρεσίας που εκπονήθηκαν από οργανισμούς που πρέπει να πληρούν αυτά τα νέα πρότυπα.

Απαιτείται: Ομοσπονδιακή αναθεώρηση και αξιολόγηση σχεδίων

Αυτό το επίπεδο άμεσης εποπτείας επεκτείνει την προσέγγιση που εφαρμόζεται σήμερα μόνο στις πιο κρίσιμες εθνικές υποδομές — ιδίως το ηλεκτρικό δίκτυο (που ρυθμίζεται από το Υπουργείο Ενέργειας, την Ομοσπονδιακή Επιτροπή Ενεργειακής Αξιοπιστίας και την North Amerian Reliability Corp.) και το πετρέλαιο και το φυσικό αέριο αγωγών (Τμήμα Εσωτερικής Ασφάλειας και Διοίκηση Ασφάλειας Μεταφορών) — σε όλο το φάσμα των βιομηχανιών των ΗΠΑ στις οποίες βασίζονται οι άνθρωποι, συμπεριλαμβανομένων των λιανικών, φαρμακευτικών, χημικών, μεταφοράς και διανομής, τροφίμων και ποτών και πολλών άλλων.

Ένας κλάδος που είναι πιθανό να αισθάνεται έντονα αυτή τη ρυθμιστική δραστηριότητα και να δει ουσιαστικές αλλαγές ως αποτέλεσμα, είναι ο τομέας του νερού. Ιδιαίτερα ευάλωτες σε κυβερνοεπιθέσεις, οι επιχειρήσεις ύδρευσης χρειάζονται επειγόντως ανανεωμένα —και επιβεβλημένα— πρότυπα ασφαλείας. Στην πραγματικότητα, η κυβέρνηση Μπάιντεν άφησε να εννοηθεί πρόσφατα ότι η Υπηρεσία Προστασίας του Περιβάλλοντος (EPA) πρόκειται να εκδώσει έναν νέο κανόνα που θα περιλαμβάνει την κυβερνοασφάλεια στις αναθεωρήσεις υγιεινής των εγκαταστάσεων νερού της χώρας — περαιτέρω υποστηρίζοντας υψηλότερα πρότυπα όσον αφορά την ασφάλεια στον κυβερνοχώρο.

Το διακύβευμα είναι μεγάλο: Ένα τυπικό δημοτικό σύστημα επεξεργασίας νερού φιλτράρει 16 εκατομμύρια γαλόνια νερού κάθε μέρα και ένας επιτυχημένος χάκερ θα μπορούσε να αλλοιώσει ολόκληρη την παροχή νερού της κοινότητας. Αυτό δεν είναι ένας υποθετικός φόβος — μια ομάδα hacking κατάφερε πρόσφατα να διεισδύσει σε ένα σύστημα επεξεργασίας νερού στο Oldsmar, Fla. Ανακατεύοντας την ποσότητα της αλυσίβας στο νερό, έβαλαν σε κίνδυνο μια ολόκληρη πόλη. Και πρόσφατα, η συμμορία ransomware Clop στόχευσε το Νότιο Staffordshire ύδρευσης στο Ηνωμένο Βασίλειο. Αν και αυτές οι επιθέσεις δεν είναι πάντα επιτυχείς, η σοβαρότητα των κινδύνων έχει γίνει πολύ σαφής.

Παρά τις προηγούμενες προσπάθειες βελτίωσης των προτύπων ασφάλειας για τον τομέα του νερού, παραμένει ευάλωτος. Ακόμη και Νόμος για την Υδατική Υποδομή της Αμερικής του 2018 (AWIA), η οποία δήλωσε ότι οι επιχειρήσεις κοινής ωφελείας πρέπει να αναπτύξουν σχέδια αντιμετώπισης έκτακτης ανάγκης που να αντιμετωπίζουν απειλές για την ασφάλεια στον κυβερνοχώρο ως μέρος μιας ευρύτερη προσπάθεια για τη βελτίωση της συνολικής υποδομής και της ποιότητας, δεν άλλαξε σημαντικά τη στάση της κυβερνοασφάλειας για τον κλάδο. Ο τομέας περιλαμβάνει 50,000 ξεχωριστές επιχειρήσεις κοινής ωφέλειας στις Ηνωμένες Πολιτείες, οι περισσότερες από τις οποίες είναι μικρές και διαχειρίζονται δήμοι. Αυτός ο κατακερματισμός, σε συνδυασμό με τη γενική απροθυμία των φορέων εκμετάλλευσης να εγκαταλείψουν τις υπάρχουσες πρακτικές, επέτρεψαν να μειωθεί η ώθηση για αλλαγές.

Αλλά το προηγούμενο μας λέει ότι, όταν γίνονται σωστά, οι ομοσπονδιακοί κανονισμοί μπορούν να κάνουν τη διαφορά. Βλέπουμε ήδη πρόοδο σε έναν άλλο ευάλωτο τομέα υποδομών ζωτικής σημασίας: το πετρέλαιο και το φυσικό αέριο. Ακολουθώντας το υψηλό προφίλ Αποικία αποικιακών σωληνώσεων το 2021, η Διοίκηση Ασφάλειας Μεταφορών (TSA) του Υπουργείου Εσωτερικής Ασφάλειας κυκλοφόρησε γρήγορα δύο Οδηγίες ασφαλείας, με ένα ενημέρωση το 2022, διπλασιάζοντας τις προσπάθειές της για τη διασφάλιση καλύτερης προστασίας των ενεργειακών υποδομών σε εθνικό επίπεδο. Αυτές οι οδηγίες έδωσαν έμφαση στη διαχείριση διαπιστευτηρίων και στον έλεγχο πρόσβασης, δύο πράγματα που θα βοηθούσαν να αποκλειστεί η επίθεση ransomware εξαρχής.

Παρά την αρχική ώθηση από τους ιδιοκτήτες και τους διαχειριστές αγωγών, αυτές οι πρώτες στο είδος τους απαιτήσεις TSA οδηγούν ήδη ολόκληρο τον κλάδο σε ένα πιο προστατευμένο περιβάλλον. Οι χειριστές κλίνουν τώρα σε μέτρα ασφαλείας που επικεντρώνονται στην προληπτική δράση και την πρόληψη επιθέσεων.

Η έκκληση για πρόληψη επιθέσεων οδηγεί σε περισσότερη προστασία

Η βασική διαφορά εδώ είναι ότι το Οι οδηγίες TSA απαιτούν σχέδια εφαρμογής για τον κυβερνοχώρο προστασία, όχι μόνο για τον εντοπισμό και την απόκριση περιστατικών. Μόλις οι χειριστές ήταν υποχρεωμένοι να προστασία
οι ίδιοι, όχι απλώς να ανταποκρίνονται σε γεγονότα μετά το γεγονός - και μόλις η ομοσπονδιακή κυβέρνηση επανεξέταζε τα σχέδιά της για την κυβερνοπροστασία - ο τομέας του πετρελαίου και του φυσικού αερίου άρχισε να κινείται σοβαρά.

Και τώρα, με την καθοδήγηση του OMB προς τις υπηρεσίες, η ίδια άμεση εποπτεία της κυβερνοπροστασίας θα έρθει και σε άλλους τομείς, συμπεριλαμβανομένου του νερού. Με άλλα λόγια, η κίνηση στο πετρέλαιο και το φυσικό αέριο είναι ένας υπαινιγμός για το τι θα ακολουθήσει για άλλες κρίσιμες υποδομές.

Το hack Oldsmar του 2021 έδειξε στον κόσμο πόσο εύκολη - και πόσο καταστροφική - μπορεί να είναι μια επίθεση σε ένα εργοστάσιο νερού. Ανεξάρτητα από τα ιστορικά πρότυπα της βιομηχανίας, α σαφής ανάγκη για καλύτερη ασφάλεια στον κυβερνοχώρο έχει προκύψει και φαίνεται ότι η κυβέρνηση είναι έτοιμη να προχωρήσει πιο επιθετικά από ποτέ. Η ευρεία ώθησή του προς καλύτερη ασφάλεια για υποδομές ζωτικής σημασίας είναι έτοιμη να είναι ο καταλύτης που πολλοί τομείς, όπως το νερό, χρειάζονται απεγνωσμένα.

Οι ιδιοκτήτες και οι διαχειριστές εγκαταστάσεων δεν μπορούν πλέον να αγνοούν τους κινδύνους. βαρύτερη ρύθμιση είναι ένα «πότε», όχι ένα «αν». Τώρα είναι η ώρα να επιδιώξουν καλύτερη, πιο σύγχρονη ασφάλεια στον κυβερνοχώρο.