Korkean riskin kyberhyökkäysten ja sitä seuranneen valtavirran lehdistötiedotteen herättämänä liittovaltion hallitus on siirtymässä kohti kriittisen infrastruktuurin kyberturvallisuuden uusia vaatimuksia.
Heinäkuu Office of Management and Budget (OMB) muistio (PDF) vaati virastoja kaikkialla liittovaltion hallituksessa määrittämään erityiset kyberturvallisuuden "suorituskykystandardit" omilla toimialoillaan - ja mikä vielä tärkeämpää, budjetoimaan liittovaltion virastojen "tarkastuksia ja arviointeja" kyberkarkaisusuunnitelmista, jotka organisaatiot ovat valmiita noudattamaan. niitä uusia standardeja.
Tarvitaan: Liittovaltion suunnitelmien tarkistus ja arviointi
Tämä suoran valvonnan taso laajentaa lähestymistapaa, jota nykyään sovelletaan vain kriittisimpään kansalliseen infrastruktuuriin – erityisesti sähköverkkoon (joka sääntelevät Department of Energy, Federal Energy Reliability Commission ja North Amerian Reliability Corp.) sekä öljyä ja kaasua. putkistot (Department of Homeland Security ja Transportation Security Administration) – kaikilla USA:n teollisuudenaloilla, joihin ihmiset luottavat, mukaan lukien vähittäiskauppa, lääkkeet, kemianteollisuus, kuljetus ja jakelu, ruoka ja juoma sekä monet muut.
Yksi toimiala, joka todennäköisesti tuntee tämän sääntelytoiminnan voimakkaasti ja näkee sen seurauksena merkittäviä muutoksia, on vesiala. Voimakkaasti kyberhyökkäyksille alttiit vesilaitokset tarvitsevat kiireesti päivitettyjä – ja valvottuja – turvallisuusstandardeja. Itse asiassa Bidenin hallinto vihjasi äskettäin, että ympäristönsuojeluvirasto (EPA) aikoo antaa uuden säännön, joka sisältäisi kyberturvallisuuden maan vesilaitosten sanitaatiotarkasteluissa. korkeampien standardien tukeminen kyberturvallisuuden suhteen.
Panokset ovat korkeat: Tyypillinen kunnallinen vedenkäsittelyjärjestelmä suodattaa 16 miljoonaa gallonaa vettä joka päivä, ja yksi menestynyt hakkeri voi pilata yhteisön koko vesivarannon. Tämä ei ole hypoteettinen pelko – hakkerointiryhmä onnistui äskettäin soluttautumaan a vedenkäsittelyjärjestelmä Oldsmarissa, Fla. Seikkailemalla vedessä olevan lipeän kanssa he vaarantavat koko kaupungin. Ja äskettäin Clop ransomware -jengi kohteena oli Etelä -Staffordshire vesilaitos Isossa-Britanniassa. Vaikka nämä hyökkäykset eivät aina onnistu, riskien vakavuus on tehty täysin selväksi.
Huolimatta aiemmista yrityksistä parantaa vesialan turvallisuusstandardeja, se on edelleen haavoittuvainen. Jopa Amerikan vesiinfrastruktuurilaki 2018 (AWIA), joka totesi, että vesilaitosten on kehitettävä hätätilannesuunnitelmia, jotka käsittelevät kyberturvallisuusuhkia osana laajempia pyrkimyksiä parantaa yleistä infrastruktuuria ja laatua, ei muuttanut merkittävästi alan kyberturvallisuusasentoa. Ala kattaa Yhdysvalloissa 50,000 XNUMX erillistä laitosta, joista suurin osa on pieniä ja kuntien hallinnoimia; tämä pirstoutuminen yhdistettynä toimijoiden yleiseen haluttomuuteen luopua olemassa olevista käytännöistä antoi sysäyksen muutokselle hiipua.
Mutta ennakkotapaus kertoo meille, että kun se tehdään oikein, liittovaltion määräykset voivat vaikuttaa. Näemme jo edistystä toisella haavoittuvalla kriittisen infrastruktuurin alalla: öljyllä ja kaasulla. Korkean profiilin jälkeen Colonial Pipeline hakata Vuonna 2021 Department of Homeland Securityn liikenneturvallisuusvirasto (TSA) julkaisi nopeasti kaksi Turvallisuusdirektiivit, Jossa päivitys vuonna 2022 kaksinkertaistaen ponnistelunsa energiainfrastruktuurin paremman suojan varmistamiseksi valtakunnallisesti. Näissä ohjeissa korostettiin tunnistetietojen hallintaa ja kulunvalvontaa, kahta asiaa, jotka olisivat auttaneet estämään kiristysohjelmahyökkäyksen.
Huolimatta putkistojen omistajien ja operaattoreiden ensimmäisistä vastustuksista nämä ensiluokkaiset TSA-vaatimukset johtavat jo koko sektoria kohti suojatumpaa ympäristöä. Operaattorit nojaavat nyt turvatoimiin, jotka keskittyvät proaktiivisuuteen ja hyökkäysten ehkäisyyn.
Puhelu hyökkäysten ehkäisyyn lisää suojaa
Tärkein ero tässä on se TSA-direktiivit edellyttävät täytäntöönpanosuunnitelmia kyberkäyttöön suojaus, ei vain tapausten havaitsemiseen ja reagoimiseen. Kerran toimijoilta vaadittiin suojella
itse, eivät vain reagoineet tapahtumiin jälkikäteen – ja kun liittovaltion hallitus oli tarkistamassa kybersuojasuunnitelmiaan – öljy- ja kaasuala alkoi liikkua tosissaan.
Ja nyt OMB:n virastoille antaman ohjeistuksen myötä sama kyberturvallisuuden suora valvonta tulee myös muille sektoreille, mukaan lukien vesialalle. Toisin sanoen liike öljyn ja kaasun sisällä on vihje siitä, mitä muuta kriittistä infrastruktuuria on luvassa.
Vuoden 2021 Oldsmar-hakkerointi osoitti maailmalle, kuinka helppoa – ja kuinka tuhoisaa – vesikasviin kohdistuva hyökkäys voi olla. Huolimatta alan historiallisista normeista, a selkeä tarve parantaa kyberturvallisuutta on ilmaantunut, ja näyttää siltä, että hallitus on valmis etenemään aggressiivisemmin kuin koskaan. Sen laaja pyrkimys kriittisen infrastruktuurin parempaan turvallisuuteen on valmis olemaan katalysaattori, jota monet alat, kuten vesi, ovat kipeästi tarvinneet.
Laitoksen omistajat ja käyttäjät eivät voi enää sivuuttaa riskejä; raskaampaa sääntelyä on "milloin", ei "jos". Nyt heidän on aika pyrkiä parempaan, nykyaikaisempaan kyberturvallisuuteen.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
