Le gouvernement américain a publié une série de prescriptions pour préparer les opérateurs d’infrastructures critiques aux catastrophes, aux attaques physiques et aux cyberattaques, en mettant l’accent sur la capacité à se remettre des perturbations futures.
L’initiative, baptisée « Shields Ready », vise à convaincre 16 secteurs d’infrastructures critiques identifiés d’investir dans le renforcement de leurs systèmes et services contre toute perturbation, quelle qu’en soit la source. Cet effort, mené à la fois par l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et par l'Agence fédérale de gestion des urgences (FEMA), suppose que des attaques et des catastrophes se produiront et appelle les opérateurs d'infrastructures critiques à se préparer à maintenir les services en fonctionnement.
L'interconnexion des 16 secteurs d'infrastructures critiques et de la chaîne d'approvisionnement sur laquelle ils dépendent signifie que la préparation est essentielle, a déclaré Jen Easterly, directrice de la CISA.
"Les entités d'infrastructures critiques de notre pays - des écoles aux hôpitaux en passant par les installations d'approvisionnement en eau - doivent disposer des outils et des ressources nécessaires pour réagir et se remettre des perturbations", a-t-elle déclaré. déclaré dans un communiqué. « En prenant dès aujourd’hui des mesures pour se préparer aux incidents, les infrastructures critiques, les communautés et les individus peuvent être mieux préparés à se remettre de l’impact des menaces de demain et à l’avenir. »
Les dangers qui pèsent sur les infrastructures critiques se sont accrus ces dernières années, avec des perturbations causées par de graves catastrophes – telles que les incendies de forêt en Californie et la pandémie de coronavirus – et des cyberattaques. Au cours des cinq dernières années, par exemple, la société pharmaceutique Merck a subi une panne majeure à cause de la cyberattaque NotPetya en 2017, alors que cette année son concurrent Pfizer a subi une tornade sur un important entrepôt qui a provoqué des perturbations dans l'approvisionnement de certains médicaments. Et en mai 2021, l’opérateur américain de pipelines Colonial Pipeline subi une attaque de rançongiciel, fermant ses services pendant une semaine, ce qui a entraîné des pénuries de gaz dans tout le sud-est des États-Unis.
Une campagne précédente, connue sous le nom de « Shields Up », visait à convaincre les organisations d’infrastructures critiques de prendre des mesures défensives en réaction à des informations sur des menaces spécifiques. Shields Ready vise à se préparer au pire à tous les niveaux, déclare Michael Hamilton, co-fondateur et RSSI de Critical Insight, un cabinet de conseil en cybersécurité.
"Le message caché ici est que cela arrive, et en regardant autour du monde, ce n'est pas si difficile à prédire", dit-il, soulignant les avertissements réguliers du FBI et de la CISA adressés aux fournisseurs de contrôle industriel et d'infrastructures critiques. "Il n'est pas difficile de mettre deux et deux ensemble et de dire que vous savez que le niveau de menace a augmenté en cas de perturbation des infrastructures."
Initiatives politiques pour Shields Ready
Un problème pour cette initiative est que bon nombre des recommandations actuelles sont volontaires et informatives. Depuis novembre a été désigné « Mois de la sécurité et de la résilience des infrastructures critiques », CISA publié une boîte à outils pour les fournisseurs d’infrastructures critiques, un document de 15 pages couvrant les menaces spécifiques, les défis de sécurité et les exercices d’auto-évaluation. L'agence également publié le Cadre de planification de la résilience des infrastructures (IRPF) et des guides sur la manière de développer une chaîne d’approvisionnement résiliente et sur la manière de répondre à une cyberattaque.
Pourtant, cet effort manque de rigueur réglementaire, déclare Tom Guarente, vice-président des affaires gouvernementales chez Armis, une société de sécurité de technologie opérationnelle (OT).
« Il semble qu’il s’agisse réellement de renforcer la résilience en commençant par une connaissance de la situation et en parlant de l’importance du partage d’informations entre les entités des secteurs public et privé », dit-il. « Ils disent qu'il existe une boîte à outils, et pourtant, cette boîte à outils semble être principalement composée de lignes directrices – vous savez, de documents PDF. La réponse courte est donc : je ne sais pas ce qui ressortira de la campagne Shields Ready. »
Pourtant, il est probablement impossible d'élaborer des lignes directrices générales sous l'égide de Shields Ready pour les 16 secteurs d'infrastructures critiques. Il n'est donc pas surprenant que l'effort initial manque de détails, déclare Danielle Jablanski, stratège en cybersécurité OT chez Nozomi Networks, un fournisseur de cybersécurité pour OT. réseaux. Chaque secteur d'infrastructure critique a un Agence de gestion des risques sectoriels — généralement le ministère de la Sécurité intérieure, mais dans certains cas, le ministère de l'Énergie, de la Défense, de la Santé et des Services sociaux ou des Transports est le SRMA désigné — qui établira des lignes directrices et des exigences spécifiques au secteur.
«Je pense que le gouvernement est davantage en mode audit aujourd'hui», dit-elle. « Il est important de se rappeler que les infrastructures critiques ne sont pas monolithiques et qu’il n’existe pas de plan de sécurité, de programme ou d’ensemble de contrôles uniques qui profitent de la même manière aux 16 secteurs. »
Encourager la sécurité des infrastructures critiques : la carotte ou le bâton ?
Ces efforts, pour la plupart, semblent apporter une touche légère à l’adhésion des dirigeants de l’industrie. Parce que la sécurité continue d'être un centre de coûts – la taxe sur les affaires – les entreprises souhaitent naturellement minimiser ces dépenses, c'est pourquoi des mesures punitives seront probablement nécessaires pour mettre en œuvre bon nombre des recommandations, explique Hamilton de Critical Insight.
Tenir les dirigeants responsables des performances de leur entreprise lors d'une catastrophe ou d'une cyberattaque, comme les accusations portées contre le RSSI de SolarWinds – a déjà été un réveil brutal pour l’industrie, dit-il.
"Après avoir informé les sénateurs, les généraux et les gouverneurs, j'ai découvert que vous pouvez parler autant que vous voulez des Russes effrayants, des chaînes d'approvisionnement, des débordements de tampon et de l'injection SQL, et vous allez juste rouler des yeux", dit Hamilton. « Mais dès que vous dites 'négligence de la direction', vous avez un public. C’est exactement ce que fait le gouvernement : il va considérer le leadership exécutif comme négligent et cela retient l’attention de tout le monde.»
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- :possède
- :est
- :ne pas
- $UP
- 16
- 2017
- 2021
- 7
- a
- capacité
- A Propos
- à travers
- Action
- actes
- adresses
- Affaires
- à opposer à
- agence
- vise
- Tous
- déjà
- aussi
- an
- et les
- et infrastructure
- répondre
- tous
- apparaître
- apparaît
- SONT
- autour
- AS
- suppose
- At
- Attaques
- précaution
- public
- audit
- BE
- car
- était
- avantages.
- Améliorée
- jusqu'à XNUMX fois
- planche
- tous les deux
- tampon
- Développement
- la performance des entreprises
- mais
- by
- Californie
- Appels
- Campagne
- CAN
- cas
- causé
- Canaux centraux
- certaines
- chaîne
- Chaînes
- globaux
- des charges
- CISO
- Co-fondateur
- comment
- Venir
- Communautés
- Sociétés
- Société
- concurrent
- conseil
- continue
- des bactéries
- contrôles
- convaincre
- Coronavirus
- Pandémie de coronavirus
- Prix
- couvrant
- critique
- Infrastructure critique
- Courant
- Cyber-attaque
- cyber-attaques
- Cybersécurité
- dangers
- Danielle
- Défense
- défensive
- Département
- département de la Sécurité intérieure
- désigné
- détails
- développer
- Directeur
- catastrophe
- catastrophes
- Perturbation
- perturbations
- document
- INSTITUTIONNELS
- faire
- Don
- down
- Médicaments
- doublé
- pendant
- chacun
- effort
- efforts
- urgence climatique.
- l'accent
- énergie
- entités
- tout le monde
- exactement
- exemple
- exécutif
- cadres
- installations
- fameusement
- FBI
- National
- Ferme
- cinq
- concentré
- Pour
- trouvé
- Framework
- De
- avenir
- GAS
- Général
- obtenez
- obtention
- aller
- disparu
- Gouvernement
- lignes directrices
- Guides
- Hamilton
- arriver
- Dur
- Vous avez
- ayant
- he
- Santé
- ici
- caché
- appuyez en continu
- patrie
- Homeland Security
- les hôpitaux
- Comment
- How To
- HTML
- HTTPS
- humain
- i
- identifié
- Impact
- mis en œuvre
- importance
- important
- impossible
- in
- increased
- individus
- industriel
- industrie
- inévitable
- d'information
- D'information
- Infrastructure
- initiale
- initiative
- les initiatives
- perspicacité
- Intelligence
- développement
- Investir
- Publié
- IT
- SES
- jen
- jpg
- juste
- XNUMX éléments à
- Savoir
- connu
- Leadership
- LED
- Niveau
- lumière
- Probable
- recherchez-
- LES PLANTES
- majeur
- a prendre une
- gestion
- de nombreuses
- Matière
- Mai..
- veux dire
- message
- Michael
- Mode
- Monolithique
- Mois
- PLUS
- (en fait, presque toutes)
- la plupart
- must
- nation
- nécessaire
- réseaux
- aucune
- Novembre
- of
- on
- opérationnel
- opérateur
- opérateurs
- or
- organisations
- nos
- ande
- pandémie
- partie
- passé
- performant
- Pfizer
- Pharmaceutique
- Physique
- pipeline
- plan
- et la planification de votre patrimoine
- Platon
- Intelligence des données Platon
- PlatonDonnées
- prévoir
- Préparer
- préparé
- en train de préparer
- président
- précédent
- Privé
- secteur privé
- Problème
- Programme
- de voiture.
- fournisseurs
- public
- mettre
- ransomware
- RE
- réaction
- solutions
- vraiment
- récent
- recommandations
- Récupérer
- Standard
- régulateurs
- compter
- rappeler
- Exigences
- la résilience
- résilient
- Resources
- Réagir
- Analyse
- la gestion des risques
- pour le running
- "Les Russes
- s
- Sécurité
- Saïd
- même
- dire
- dit
- Écoles
- secteur
- spécifique au secteur
- Secteurs
- sécurité
- SÉNATEURS
- Série
- Services
- set
- sévère
- partage
- elle
- Shorts
- les pénuries
- arrêter
- depuis
- So
- quelques
- Bientôt
- Identifier
- Sud est
- le fer de lance
- groupe de neurones
- Commencez
- États
- Étapes
- Stratège
- tel
- la quantité
- chaîne d'approvisionnement
- Des chaînes d'approvisionnement
- Système
- Prenez
- prise
- discutons-en
- parlant
- impôt
- Technologie
- conditions
- qui
- Le
- El futuro
- L'initiative
- La Source
- le monde
- leur
- Là.
- l'ont
- penser
- this
- cette année
- ceux
- menace
- des menaces
- tout au long de
- à
- aujourd'hui
- ensemble
- tom
- demain
- Boîte à outils
- les outils
- tornade
- -nous
- vers
- transport
- deux
- typiquement
- parapluie
- sous
- Uni
- États-Unis
- us
- gouvernement des États-Unis
- Ve
- vice
- Vice-président
- volontaire
- souhaitez
- Eau
- semaine
- Quoi
- qui
- tout en
- why
- sera
- comprenant
- world
- pire
- an
- années
- Vous n'avez
- zéphyrnet
