Yhdysvaltain hallitus on antanut joukon reseptejä kriittisen infrastruktuurin operaattoreiden valmistelemiseksi katastrofeja, fyysisiä hyökkäyksiä ja kyberhyökkäyksiä varten painottaen kykyä toipua häiriöistä tulevaisuudessa.
"Shields Ready" -niminen aloite pyrkii vakuuttamaan 16 tunnistettua kriittistä infrastruktuurialaa investoimaan järjestelmiensä ja palveluidensa karkaisemiseen häiriötä vastaan lähteestä riippumatta. Sekä Cybersecurity and Infrastructure Security Agency (CISA) että Federal Emergency Management Agency (FEMA) johtavat ponnistelut edellyttävät, että hyökkäyksiä ja katastrofeja tapahtuu, ja kehottaa kriittisten infrastruktuurien operaattoreita valmistautumaan pitämään palvelut käynnissä.
CISA:n johtaja Jen Easterly sanoi, että 16 kriittisen infrastruktuurin alan ja toimitusketjun, johon ne perustuvat, yhteenliittäminen tarkoittaa, että valmistautuminen on kriittistä.
"Maamme kriittisen infrastruktuurin yksiköillä - kouluista sairaaloihin ja vesilaitoksiin - on oltava työkalut ja resurssit reagoida häiriöihin ja toipua niistä", hän sanoi lausunnossaan. "Ottamalla toimenpiteitä tänään varautuakseen vaaratilanteisiin, kriittinen infrastruktuuri, yhteisöt ja yksilöt voivat olla paremmin valmistautuneita toipumaan huomisen uhkien vaikutuksista ja tulevaisuuteen."
Kriittisen infrastruktuurin vaarat ovat lisääntyneet viime vuosina vakavien katastrofien – kuten Kalifornian metsäpalojen ja koronaviruspandemia – ja kyberhyökkäysten aiheuttamien häiriöiden myötä. Viimeisen viiden vuoden aikana esimerkiksi lääkeyhtiö Merck kärsi suuresta katkoksesta vuoden 2017 NotPetya-kyberhyökkäyksen takia, kun taas tänä vuonna kilpailija Pfizer kärsi tornado-iskusta suuressa varastossa, joka aiheutti häiriöitä tiettyjen lääkkeiden toimituksissa. Ja tunnetusti toukokuussa 2021 yhdysvaltalainen putkioperaattori Colonial Pipeline joutui ransomware-hyökkäykseen, sulki palvelunsa viikoksi, mikä johti kaasupulaan kaikkialla Yhdysvaltojen kaakkoisosassa.
Edellinen kampanja, joka tunnettiin nimellä "Shields Up", keskittyi kriittisen infrastruktuurin organisaatioiden vakuuttamiseen ryhtymään puolustaviin toimiin reagoidakseen tiettyihin uhkien tiedustelutietoihin. Shields Readyssa on kyse pahimpaan valmistautumisesta, sanoo Michael Hamilton, kyberturvallisuuskonsulttiyrityksen Critical Insightin perustaja ja CISO.
"Piilotettu viesti tässä on, se on tulossa, ja ympäri maailmaa katsellen sitä ei ole niin vaikea ennustaa", hän sanoo ja viittaa säännöllisiin FBI- ja CISA-varoituksiin teollisuuden valvonnan ja kriittisen infrastruktuurin tarjoajille. "Ei ole vaikeaa yhdistää kaksi ja kaksi ja sanoa, että tiedät, että infrastruktuurihäiriöiden uhkataso on noussut."
Shieldsin poliittiset aloitteet ovat valmiina
Aloitteen ongelmana on, että monet tämänhetkisistä suosituksista ovat vapaaehtoisia ja tiedottavia. Marraskuusta lähtien CISA on nimetty "kriittisen infrastruktuurin turvallisuuden ja kestävyyden kuukaudeksi". julkaisi työkalupakin kriittisen infrastruktuurin tarjoajille 15-sivuinen asiakirja, joka kattaa erityisiä uhkia, turvallisuushaasteita ja itsearviointiharjoituksia. Virasto myös julkaistu Infrastructure Resilience Planning Framework (IRPF) ja oppaat kestävän toimitusketjun kehittämiseen ja kyberhyökkäykseen reagoimiseen.
Silti ponnisteluista puuttuu sääntelyhampaita, sanoo Tom Guarente, operatiivisen teknologian (OT) turvayrityksen Armisin hallituksen varapuheenjohtaja.
"Se näyttää todella tarkoittavan joustavuuden rakentamista tilannetietoisuudella, puhumalla tiedon jakamisen tärkeydestä julkisen ja yksityisen sektorin välillä", hän sanoo. ”He sanovat, että siellä on työkalupakki, mutta työkalupakki näyttää koostuvan enimmäkseen ohjeista – tiedäthän, PDF-dokumenteista. Joten lyhyt vastaus on, en tiedä mitä Shields Ready -kampanjasta tulee ulos.
Silti yleisten ohjeiden laatiminen Shields Readyn sateenvarjossa kaikille 16 kriittisen infrastruktuurin sektorille on todennäköisesti mahdotonta, joten ei ole yllättävää, että alkuperäisistä ponnisteluista puuttuu yksityiskohtia, sanoo Danielle Jablanski, OT:n kyberturvallisuusstrategi Nozomi Networksistä, OT:n kyberturvallisuuden tarjoajasta. verkkoja. Jokaisella kriittisen infrastruktuurin sektorilla on a Toimialan riskienhallintavirasto – tyypillisesti Department of Homeland Security, mutta joissakin tapauksissa energia-, puolustus-, terveys- ja henkilöstöpalvelu- tai liikenneministeriö on nimetty SRMA – joka laatii alakohtaiset ohjeet ja vaatimukset.
"Luulen, että hallitus on nykyään enemmän tilintarkastustilassa", hän sanoo. "On tärkeää muistaa, että kriittinen infrastruktuuri ei ole monoliittinen, ei ole olemassa yhtä kattavaa tietoturvasuunnitelmaa, -ohjelmaa tai -hallintajärjestelmää, joka hyödyttäisi kaikkia 16 sektoria samalla tavalla."
Kriittisen infrastruktuurin turvallisuuden edistäminen: porkkana vai keppi?
Nämä ponnistelut näyttävät pääosin ottavan kevyen kosketuksen kohti alan johtajien saamista mukaan. Koska turvallisuus on edelleen kustannuspaikka – liiketoiminnan verotus – yritykset haluavat luonnollisesti minimoida nämä menot, minkä vuoksi rankaisevat toimet ovat todennäköisesti tarpeen monien suositusten toteuttamiseksi, sanoo Critical Insightin Hamilton.
Johtajien saattaminen vastuuseen yrityksensä suorituksista katastrofin tai kyberhyökkäyksen aikana - esim. syytteet SolarWindsin CISO:ta vastaan — on ollut jo töykeä herätys teollisuudelle, hän sanoo.
"Kun olen tiedottanut senaattoreille, kenraaleille ja kuvernööreille, olen huomannut, että voit puhua pelottavista venäläisistä, toimitusketjuista, puskureiden ylivuodoista ja SQL-injektiosta mitä haluat, ja saat vain pyöritellä silmiä", Hamilton sanoo. "Mutta heti kun sanotte "johtajan huolimattomuutta", sinulla on yleisö. Juuri niin hallitus tekee – he aikovat pitää toimeenpanojohtajuutta välinpitämättömänä ja se kiinnittää kaikkien huomion.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- :on
- :On
- :ei
- $ YLÖS
- 16
- 2017
- 2021
- 7
- a
- kyky
- Meistä
- poikki
- Toiminta
- toimet
- osoitteet
- Asioiden
- vastaan
- toimisto
- tavoitteet
- Kaikki
- jo
- Myös
- an
- ja
- ja infrastruktuuri
- vastaus
- Kaikki
- näyttää
- näyttää
- OVAT
- noin
- AS
- olettaa
- At
- Hyökkäykset
- huomio
- yleisö
- tilintarkastus
- tietoisuus
- BE
- koska
- ollut
- Hyödyt
- Paremmin
- välillä
- hallitus
- sekä
- puskuri
- Rakentaminen
- liiketoiminta
- mutta
- by
- Kalifornia
- Puhelut
- Kampanja
- CAN
- tapauksissa
- aiheutti
- keskus
- tietty
- ketju
- kahleet
- haasteet
- maksut
- CISO
- Perustaja
- Tulla
- tuleva
- yhteisöjen
- Yritykset
- yritys
- kilpailija
- konsultointi
- jatkuu
- ohjaus
- valvonta
- vakuuttaa
- koronavirusantigeenin
- Koronaviruspandemia
- Hinta
- päällyste
- kriittinen
- Kriittinen infrastruktuuri
- Nykyinen
- Kyberhyökkäys
- cyberattacks
- tietoverkkojen
- vaaroista
- Danielle
- Puolustus
- puolustava
- osasto
- sisäisen turvallisuuden osasto
- nimetty
- yksityiskohdat
- kehittää
- Johtaja
- katastrofi
- katastrofien
- Häiriö
- häiriöistä
- asiakirja
- asiakirjat
- tekee
- Don
- alas
- Huumeet
- dubattuna
- aikana
- kukin
- vaivaa
- ponnisteluja
- hätä
- painotus
- energia
- yksiköt
- jokainen
- täsmälleen
- esimerkki
- johtaja
- johtajat
- laitteet
- erinomaisesti
- FBI
- Liitto-
- Yritys
- viisi
- keskityttiin
- varten
- löytyi
- Puitteet
- alkaen
- tulevaisuutta
- GAS
- general
- saada
- saada
- menee
- poissa
- Hallitus
- suuntaviivat
- Oppaat
- Hamilton
- tapahtua
- Kova
- Olla
- ottaa
- he
- terveys
- tätä
- kätketty
- pitää
- kotimaa
- Homeland Security
- sairaalat
- Miten
- Miten
- HTML
- HTTPS
- ihmisen
- i
- tunnistettu
- Vaikutus
- täytäntöön
- merkitys
- tärkeä
- mahdoton
- in
- kasvoi
- henkilöt
- teollinen
- teollisuus
- väistämätön
- tiedot
- Tiedotteet
- Infrastruktuuri
- ensimmäinen
- aloite
- aloitteita
- tietoa
- Älykkyys
- tulee
- Investoida
- Annettu
- IT
- SEN
- jen
- jpg
- vain
- Pitää
- Tietää
- tunnettu
- Johto
- Led
- Taso
- valo
- Todennäköisesti
- näköinen
- tehty
- merkittävä
- tehdä
- johto
- monet
- asia
- Saattaa..
- välineet
- viesti
- Michael
- tila
- yhtenäinen
- Kuukausi
- lisää
- eniten
- enimmäkseen
- täytyy
- kansakunta
- välttämätön
- verkot
- Nro
- marraskuu
- of
- on
- toiminta-
- operaattori
- operaattorit
- or
- organisaatioiden
- meidän
- ulos
- pandeeminen
- osa
- Ohi
- suorituskyky
- Pfizer
- Lääkealan
- fyysinen
- putki
- suunnitelma
- suunnittelu
- Platon
- Platonin tietotieto
- PlatonData
- ennustaa
- Valmistella
- valmis
- valmistelee
- puheenjohtaja
- edellinen
- yksityinen
- yksityissektorin
- Ongelma
- Ohjelma
- toimittaja
- tarjoajat
- julkinen
- laittaa
- ransomware
- RE
- reaktio
- valmis
- ihan oikeesti
- äskettäinen
- suosituksia
- toipua
- säännöllinen
- sääntelyn
- luottaa
- muistaa
- vaatimukset
- kimmoisuus
- kimmoisa
- Esittelymateriaalit
- Vastata
- Riski
- riskienhallinta
- juoksu
- Venäläiset
- s
- Turvallisuus
- Said
- sama
- sanoa
- sanoo
- Koulut
- sektori
- alakohtainen
- sektorit
- turvallisuus
- SENAATORIT
- Sarjat
- Palvelut
- setti
- vaikea
- jakaminen
- hän
- Lyhyt
- pulaa
- sammutetaan
- koska
- So
- jonkin verran
- pian
- lähde
- kaakko
- keihäänkärkenä
- erityinen
- Aloita
- Valtiot
- Askeleet
- Strategi
- niin
- toimittaa
- toimitusketju
- Toimitusketjut
- järjestelmät
- ottaa
- ottaen
- Puhua
- puhuminen
- vero
- Elektroniikka
- ehdot
- että
- -
- Tulevaisuus
- Aloite
- Lähde
- maailma
- heidän
- Siellä.
- ne
- ajatella
- tätä
- Tämä vuosi
- ne
- uhkaus
- uhat
- kauttaaltaan
- että
- tänään
- yhdessä
- tom
- huomenna
- työkalupakki
- työkalut
- tornado
- kosketa
- kohti
- kuljetus
- kaksi
- tyypillisesti
- sateenvarjo
- varten
- Yhtenäinen
- Yhdysvallat
- us
- meidän hallitus
- Ve
- pahe
- Varapresidentti
- vapaaehtoinen
- haluta
- vesi
- viikko
- Mitä
- joka
- vaikka
- miksi
- tulee
- with
- maailman-
- pahin
- vuosi
- vuotta
- Voit
- zephyrnet
