Kõrge riskiga küberrünnakute ja sellele järgnenud peavoolu ajakirjanduse kajastuste ajendiks liigub föderaalvalitsus kriitilise infrastruktuuri küberturvalisuse uute nõuete poole.
Juuli Juhtimis- ja eelarvebüroo (OMB) memo (PDF) kutsus föderaalvalitsuse asutusi üles kehtestama oma vastavatele tööstusharudele konkreetsed küberjulgeoleku "jõudlusstandardid" ja, mis veelgi olulisem, eraldama eelarve föderaalametite jaoks küberkarastamist käsitlevate kavade "ülevaatamiseks ja hindamiseks", mille on koostanud organisatsioonid, kes peavad järgima täitmist. need uued standardid.
Vajalik: föderaalne plaanide ülevaatus ja hindamine
See otsese järelevalve tase laiendab lähenemisviisi, mida praegu rakendatakse ainult kõige kriitilisema riikliku infrastruktuuri suhtes – eelkõige elektrivõrgule (mida reguleerivad energeetikaministeerium, Federal Energy Reliability Commission ja North Amerian Reliability Corp.) ning naftale ja gaasile. torujuhtmed (Department of Homeland Security ja Transportation Security Administration) – kõigis USA tööstusharudes, millele inimesed sõltuvad, sealhulgas jaemüük, ravimid, keemiatööstus, transport ja jaotus, toit ja joogid ning paljud teised.
Üks tööstusharu, mis tõenäoliselt tunneb seda regulatiivset tegevust tugevalt ja näeb selle tulemusena olulisi muutusi, on veesektor. Küberrünnakute suhtes väga haavatavad vee-ettevõtted vajavad kiiresti värskendatud ja jõustatud turvastandardeid. Tegelikult vihjas Bideni administratsioon hiljuti, et Keskkonnakaitseagentuur (EPA) kavatseb välja anda uue reegli, mis hõlmaks küberjulgeolekut riigi veerajatiste sanitaarülevaadetes. küberturvalisuse kõrgemate standardite toetamine.
Panused on suured: tüüpiline munitsipaalveetöötlussüsteem filtreerib iga päev 16 miljonit gallonit vett ja üks edukas häkker võib rikkuda kogu kogukonna veevarustuse. See ei ole hüpoteetiline hirm – häkkimisgrupil õnnestus hiljuti imbuda a veepuhastussüsteem Oldsmaris, Fla. Vees leiduva leelise koguse kallal nokitsedes seavad nad ohtu terve linna. Ja hiljuti võttis Clopi lunavarajõuk sihikule Lõuna-Staffordshire veeettevõte Ühendkuningriigis. Kuigi need rünnakud ei ole alati edukad, on riskide tõsidus tehtud täiesti selgeks.
Vaatamata varasematele katsetele parandada veesektori turvastandardeid, on see endiselt haavatav. Isegi Ameerika 2018. aasta veeinfrastruktuuri seadus (AWIA), mis teatas, et vee-ettevõtted peavad välja töötama hädaolukordadele reageerimise plaanid, mis tegelevad küberjulgeoleku ohtudega. jõupingutusi üldise infrastruktuuri ja kvaliteedi parandamiseks, ei muutnud oluliselt tööstuse küberjulgeoleku hoiakut. Sektor hõlmab Ameerika Ühendriikides 50,000 XNUMX eraldiseisvat kommunaalettevõtet, millest enamik on väikesed ja mida haldavad omavalitsused; see killustatus koos operaatorite üldise soovimatusega olemasolevatest tavadest loobuda võimaldas muutuste tõuke kaduda.
Kuid pretsedent ütleb meile, et kui seda õigesti teha, võivad föderaalsed määrused midagi muuta. Näeme juba edusamme teises haavatavas kriitilise infrastruktuuri sektoris: nafta ja gaas. Kõrge profiili järgimine Koloonia torujuhtme häkkimine aastal 2021 avaldas sisejulgeoleku osakonna transporditurvalisuse administratsioon (TSA) kiiresti kaks Turvadirektiivid, koos a ajakohastama 2022. aastal, kahekordistades oma jõupingutusi energiataristu parema kaitse tagamiseks üleriigiliselt. Need direktiivid rõhutasid mandaatide haldust ja juurdepääsu kontrolli, kahte asja, mis oleksid aidanud lunavararünnakut blokeerida.
Vaatamata torujuhtmete omanike ja operaatorite esialgsele tagasilöögile suunavad need esmakordsed TSA nõuded juba kogu sektorit kaitstuma keskkonna poole. Operaatorid toetuvad nüüd turvameetmetele, mille keskmes on proaktiivsus ja rünnakute ennetamine.
Kõne rünnakute ennetamiseks aitab kaasa suuremale kaitsele
Peamine erinevus on see, et TSA direktiivid nõuavad rakenduskavasid küber jaoks kaitse, mitte ainult intsidentide tuvastamiseks ja reageerimiseks. Kunagi olid operaatorid kohustatud kaitsma
ise, mitte lihtsalt reageerima sündmustele pärast tõsiasja – ja kui föderaalvalitsus vaatas läbi oma küberkaitseplaane –, hakkas nafta- ja gaasisektor tõsiselt liikuma.
Ja nüüd, OMB juhiste järgi agentuuridele, jõuab samasugune küberkaitse otsene järelevalve ka teistesse sektoritesse, sealhulgas veesektorisse. Teisisõnu, nafta ja gaasi liikumine on vihje sellele, mis tuleb muu kriitilise infrastruktuuri jaoks.
2021. aasta Oldsmari häkkimine näitas maailmale, kui lihtne ja laastav võib olla rünnak veetaime vastu. Sõltumata ajaloolistest tööstusnormidest, a selge vajadus parema küberturvalisuse järele on ilmnenud ja näib, et valitsus on valmis edasi liikuma agressiivsemalt kui kunagi varem. Selle laiaulatuslik tõuge kriitilise infrastruktuuri parema turvalisuse poole on tõenäoliselt katalüsaatoriks, mida paljud sektorid, nagu vesi, on hädasti vajanud.
Tehaste omanikud ja käitajad ei saa enam riske ignoreerida; raskem regulatsioon on "millal", mitte "kui". Nüüd on neil aeg otsida paremat ja kaasaegsemat küberturvalisust.
