به دلیل حملات سایبری پرخطر و متعاقب آن پوشش خبری جریان اصلی مطبوعات، دولت فدرال به سمت الزامات جدید برای امنیت سایبری زیرساخت های حیاتی حرکت می کند.
یک جولای یادداشت دفتر مدیریت و بودجه (OMB). (PDF) از آژانسهای سراسر دولت فدرال خواست تا «استانداردهای عملکرد» امنیت سایبری خاصی را برای صنایع مربوطه خود ایجاد کنند - و حتی مهمتر از آن، بودجه آژانس فدرال را «بررسی و ارزیابی» برنامههای سختسازی سایبری تهیهشده توسط سازمانهایی که باید رعایت کنند، تهیه کنند. آن استانداردهای جدید
مورد نیاز: بررسی فدرال و ارزیابی طرح ها
این سطح از نظارت مستقیم رویکردی را گسترش میدهد که امروزه فقط برای حیاتیترین زیرساختهای ملی اعمال میشود - به ویژه شبکه برق (که توسط وزارت انرژی، کمیسیون فدرال قابلیت اطمینان انرژی، و شرکت قابلیت اطمینان آمریکای شمالی تنظیم میشود) و نفت و گاز. خطوط لوله (دپارتمان امنیت داخلی و اداره امنیت حمل و نقل) - در طیف گسترده ای از صنایع ایالات متحده که مردم به آنها اعتماد دارند، از جمله خرده فروشی، داروسازی، مواد شیمیایی، حمل و نقل و توزیع، غذا و نوشیدنی، و بسیاری دیگر.
یکی از صنایعی که احتمالاً این فعالیت نظارتی را به شدت احساس می کند و در نتیجه شاهد تغییرات اساسی است، بخش آب است. شرکتهای آب که به شدت در برابر حملات سایبری آسیبپذیر هستند، نیاز فوری به استانداردهای امنیتی تازهسازی و اجرا شده دارند. در واقع، دولت بایدن اخیرا اشاره کرد که آژانس حفاظت از محیط زیست (EPA) قرار است قانون جدیدی صادر کند که شامل امنیت سایبری در بررسی های بهداشتی تاسیسات آبی کشور می شود - بیشتر پشتیبانی از استانداردهای بالاتر در مورد امنیت سایبری.
خطرات زیاد است: یک سیستم معمولی پردازش آب شهری روزانه 16 میلیون گالن آب را فیلتر می کند و یک هکر موفق می تواند کل منبع آب جامعه را آلوده کند. این یک ترس فرضی نیست - یک گروه هکر اخیراً موفق به نفوذ به a سیستم تصفیه آب در اولدزمار، فلوریدا. آنها با دستکاری مقدار لیموترش در آب، کل شهر را در معرض خطر قرار می دهند. و اخیراً باند باج افزار Clop این را هدف قرار داده است استافوردشایر جنوبی شرکت آب در انگلستان در حالی که این حملات همیشه موفقیت آمیز نیستند، شدت خطرات به وفور آشکار شده است.
علیرغم تلاش های قبلی برای بهبود استانداردهای امنیتی برای بخش آب، این بخش همچنان آسیب پذیر است. زوج قانون زیرساخت های آبی آمریکا در سال 2018 (AWIA)، که بیان کرد که شرکت های آب باید برنامه های واکنش اضطراری را توسعه دهند که تهدیدات امنیت سایبری را به عنوان بخشی از یک تلاش گسترده تر برای بهبود زیرساخت و کیفیت کلیتغییر قابل توجهی در وضعیت امنیت سایبری برای صنعت ایجاد نکرد. این بخش شامل 50,000 شرکت مجزا در ایالات متحده است که اکثر آنها کوچک هستند و توسط شهرداری ها مدیریت می شوند. این تقسیمبندی، همراه با عدم تمایل عمومی اپراتورها به کنار گذاشتن شیوههای موجود، باعث شد تا انگیزه تغییر از بین برود.
اما پیشینه به ما می گوید که وقتی به درستی انجام شود، مقررات فدرال می تواند تفاوت ایجاد کند. ما در حال حاضر شاهد پیشرفت در یکی دیگر از بخشهای زیربنایی حیاتی آسیبپذیر هستیم: نفت و گاز. دنبال پرمخاطب هک خط لوله استعماری در سال 2021، اداره امنیت حمل و نقل وزارت امنیت داخلی (TSA) به سرعت دو مورد را منتشر کرد دستورالعمل های امنیتی، با یک به روز رسانی در سال 2022، تلاش های خود را برای اطمینان از حفاظت بهتر از زیرساخت های انرژی در سراسر کشور دو برابر کرد. این دستورالعملها بر مدیریت اعتبار و کنترل دسترسی تأکید داشتند، دو موردی که در وهله اول به جلوگیری از حمله باجافزار کمک میکردند.
علیرغم فشار اولیه از سوی صاحبان و اپراتورهای خطوط لوله، این اولین نیازهای TSA در نوع خود در حال حاضر کل بخش را به سمت یک محیط محافظت شده تر هدایت می کند. اپراتورها اکنون به اقدامات امنیتی متمایل شده اند که حول محور فعالیت پیشگیرانه و پیشگیری از حمله است.
فراخوان برای پیشگیری از حمله منجر به محافظت بیشتر می شود
تفاوت اصلی در اینجا این است که دستورالعمل های TSA نیازمند برنامه های اجرایی است برای سایبر حفاظت، نه فقط برای تشخیص و پاسخ به حادثه. زمانی که اپراتورها موظف شدند محافظت از
خود، نه تنها به رویدادهای پس از این واقعیت پاسخ دهند - و زمانی که دولت فدرال در حال بررسی برنامه های حفاظت سایبری آنها بود - بخش نفت و گاز به طور جدی شروع به حرکت کرد.
و اکنون، با راهنمایی OMB به آژانسها، همان نظارت مستقیم بر حفاظت سایبری به سایر بخشها از جمله آب نیز خواهد رسید. به عبارت دیگر، حرکت در داخل نفت و گاز اشارهای به آنچه برای سایر زیرساختهای حیاتی در پیش است.
هک اولدزمار در سال 2021 به دنیا نشان داد که حمله به یک کارخانه آب چقدر آسان - و چقدر ویرانگر - می تواند باشد. صرف نظر از هنجارهای صنعتی تاریخی، الف نیاز آشکار به امنیت سایبری بهتر ظهور کرده است، و به نظر می رسد که دولت آماده است تا تهاجمی تر از همیشه به جلو حرکت کند. فشار گسترده آن به سمت امنیت بهتر برای زیرساخت های حیاتی، کاتالیزوری است که بسیاری از بخش ها، مانند آب، به شدت به آن نیاز دارند.
صاحبان و بهره برداران کارخانه دیگر نمی توانند خطرات را نادیده بگیرند. مقررات سنگین تر یک «وقتی» است، نه «اگر». اکنون زمان آن است که آنها امنیت سایبری بهتر و مدرنتری را دنبال کنند.