Kriitilise infrastruktuuri algatus "Shields Ready" tegeleb vältimatute küberrünnakutega

USA valitsus on välja andnud rea ettekirjutusi kriitilise infrastruktuuri operaatorite ettevalmistamiseks katastroofide, füüsiliste rünnakute ja küberrünnakute jaoks, rõhuasetusega võimele tulevikus häiretest taastuda.

Algatuse nimega "Shields Ready" eesmärk on veenda 16 tuvastatud kriitilise infrastruktuuri sektorit investeerima oma süsteemide ja teenuste tugevdamisse häirete vastu, olenemata allikast. Nii küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) kui ka föderaalse hädaolukordade haldusagentuuri (FEMA) juhitud jõupingutused eeldavad rünnakute ja katastroofide toimumist ning kutsuvad kriitilise infrastruktuuri operaatoreid valmistuma teenuste töös hoidmiseks.

CISA direktor Jen Easterly ütles, et 16 kriitilise infrastruktuuri sektori ja tarneahela, millele need tuginevad, omavaheline seotus tähendab, et valmisolek on kriitilise tähtsusega.

"Meie riigi kriitilise infrastruktuuri üksustel – koolidest haiglate ja veeasutusteni – peavad olema vahendid ja ressursid häiretele reageerimiseks ja nendest taastumiseks," ütles ta. ütles oma avalduses. "Võttes täna samme, et valmistuda vahejuhtumiteks, saavad kriitilised infrastruktuurid, kogukonnad ja üksikisikud olla paremini valmis homsete ohtude mõjust taastumiseks ja tulevikus."

Ohud kriitilisele infrastruktuurile on viimastel aastatel suurenenud, kuna häireid on põhjustanud tõsised katastroofid (nt California metsatulekahjud ja koroonaviiruse pandeemia) ja küberrünnakud. Viimase viie aasta jooksul näiteks ravimifirma Merck kannatas suure katkestuse all 2017. aasta NotPetya küberrünnaku tõttu, sel aastal aga konkurent Pfizer sai tornaadolöögi suures laos, mis põhjustas häireid teatud ravimite tarnimisel. Ja kuulsalt, 2021. aasta mais USA torujuhtme operaator Colonial Pipeline kannatas lunavararünnaku all, sulges nädalaks oma teenused, mis tõi kaasa gaasipuuduse kogu USA kaguosas.

Eelmises kampaanias, mida tunti nimetusega "Shields Up", keskenduti kriitilise infrastruktuuri organisatsioonide veenmisele, et nad võtaksid kaitsemeetmeid vastuseks konkreetsele ohuluurele. Shields Ready eesmärk on valmistuda halvimaks, ütleb küberturvalisuse nõustamisettevõtte Critical Insight kaasasutaja ja CISO Michael Hamilton.

"Varjatud sõnum on see, et see tuleb ja maailmas ringi vaadates pole seda nii raske ennustada," ütleb ta, osutades tavalistele FBI ja CISA hoiatustele tööstusliku kontrolli ja kriitilise infrastruktuuri pakkujatele. "Pole raske kaks ja kaks kokku panna ja öelda, et teate, et ohutase on infrastruktuuri häirete tõttu tõusnud."

Shieldsi poliitikaalgatused on valmis

Algatuse probleem seisneb selles, et paljud praegustest soovitustest on vabatahtlikud ja informatiivsed. Alates novembrist on CISA nimetatud kriitilise infrastruktuuri turvalisuse ja vastupidavuse kuuks avaldas tööriistakomplekti kriitilise infrastruktuuri pakkujate jaoks 15-leheküljeline dokument, mis hõlmab konkreetseid ohte, turvaprobleeme ja enesehindamise harjutusi. Agentuur ka avaldatud infrastruktuuri vastupanuvõime planeerimise raamistik (IRPF) ja juhendid vastupidava tarneahela arendamiseks ja küberrünnakutele reageerimiseks.

Sellegipoolest puuduvad jõupingutustel regulatiivsed hambad, ütleb Tom Guarente, operatsioonitehnoloogia (OT) turvafirma Armise valitsusasjade asepresident.

"See näib tegelikult olevat seotud vastupidavuse suurendamisega, alustades olukorrateadlikkusest, rääkides avaliku ja erasektori üksuste teabe jagamise tähtsusest," ütleb ta. "Nad ütlevad, et on olemas tööriistakomplekt, kuid näib, et tööriistakomplekt koosneb peamiselt juhistest - teate, PDF-dokumentidest. Lühike vastus on see, et ma ei tea, mis Shields Ready kampaaniast välja tuleb.

Sellegipoolest on Shields Ready katuse all üldiste juhiste väljatöötamine kõigi 16 kriitilise infrastruktuuri sektori jaoks tõenäoliselt võimatu, mistõttu pole üllatav, et esialgsel jõupingutusel puuduvad üksikasjad, ütleb Danielle Jablanski, OT küberturvalisuse strateeg ettevõttest Nozomi Networks, OT küberturvalisuse pakkuja. võrgud. Igal kriitilise infrastruktuuri sektoril on a Sektori riskijuhtimisagentuur — tavaliselt sisejulgeolekuministeerium, kuid mõnel juhul on SRMA määratud energeetika-, kaitse-, tervishoiu- ja inimteenuste osakond või transpordiministeerium, mis koostab sektoripõhised juhised ja nõuded.

"Ma arvan, et valitsus on täna rohkem auditirežiimis," ütleb ta. "Oluline on meeles pidada, et kriitiline infrastruktuur ei ole monoliitne, pole olemas universaalset turbeplaani, programmi ega juhtelementide komplekti, mis tooks kasu kõigile 16 sektorile."

Kriitilise infrastruktuuri ohutuse edendamine: porgand või pulk?

Enamasti näivad need jõupingutused tööstuse juhtide kaasamisel kerget puudutust. Kuna turvalisus on jätkuvalt kulukeskus – äritegevuse maks –, tahavad ettevõtted loomulikult neid kulutusi minimeerida, mistõttu on paljude soovituste elluviimiseks tõenäoliselt vaja karistusmeetmeid, ütleb Critical Insighti Hamilton.

Juhtide vastutusele võtmine oma ettevõtte tegevuse eest katastroofi või küberrünnaku ajal – näiteks SolarWindsi CISO vastu esitatud süüdistused — on olnud tööstusele juba ebaviisakas äratus, ütleb ta.

"Pärast senaatoreid, kindraleid ja kubernere teavitanud olen avastanud, et võite rääkida hirmutavatest venelastest, tarneahelatest, puhvri ületäitumisest ja SQL-i süstimisest, mida soovite, ja hakkate lihtsalt silmi pööritama," ütleb Hamilton. "Kuid niipea, kui ütlete "juhi hooletus", on teil publik. Täpselt seda valitsus teeb – nad peavad täitevjuhtimist hooletuks ja see tõmbab kõigi tähelepanu.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks