A nagy kockázatú kibertámadások és az azt követő sajtóvisszhangok hatására a szövetségi kormány a kritikus infrastruktúra kiberbiztonságával kapcsolatos új követelmények felé halad.
Egy július Iroda Menedzsment és Költségvetési (OMB) feljegyzés (PDF) felszólította a szövetségi kormány ügynökségeit, hogy hozzanak létre sajátos kiberbiztonsági „teljesítmény-előírásokat” a megfelelő iparágaik számára – és ami még ennél is fontosabb, vezessenek be költségvetést a szövetségi ügynökségek „felülvizsgálatára és értékelésére” azoknak a szervezeteknek a kiberkeményítési terveire, amelyeket teljesíteni kell. azokat az új szabványokat.
Szükséges: a tervek szövetségi felülvizsgálata és értékelése
A közvetlen felügyelet ezen szintje kiterjeszti azt a megközelítést, amelyet ma csak a legkritikusabb nemzeti infrastruktúrákra alkalmaznak – nevezetesen az elektromos hálózatra (amelyet az Energiaügyi Minisztérium, a Szövetségi Energiamegbízhatósági Bizottság és a North Amerian Reliability Corp. szabályoz), valamint az olajra és a gázra. csővezetékek (Department of Homeland Security and the Transportation Security Administration) – az Egyesült Államok azon iparágainak teljes skáláján, amelyekre az emberek támaszkodnak, beleértve a kiskereskedelmet, a gyógyszergyártást, a vegyipart, a szállítást és elosztást, az élelmiszereket és italokat és sok mást.
Az egyik iparág, amely valószínűleg erősen érzi ezt a szabályozási tevékenységet, és ennek eredményeként jelentős változásokat láthat, az a vízipar. A kibertámadásokkal szemben erősen sebezhető vízszolgáltatóknak sürgősen frissített – és megerősített – biztonsági szabványokra van szükségük. Valójában a Biden-adminisztráció a közelmúltban utalt arra, hogy a Környezetvédelmi Ügynökség (EPA) új szabályt fog kiadni, amely a kiberbiztonságot is magában foglalja az ország vízi létesítményeinek higiéniai felülvizsgálataiban. magasabb szabványok támogatása a kiberbiztonság terén.
A tét nagy: egy tipikus települési vízfeldolgozó rendszer naponta 16 millió gallon vizet szűr meg, és egy sikeres hacker beszennyezheti a közösség teljes vízellátását. Ez nem feltételezett félelem – egy hackercsoportnak nemrég sikerült beszivárognia a vízkezelő rendszer Oldsmarban, Fla. A vízben lévő lúg mennyiségével bütykölve egy egész várost veszélybe sodornak. Nemrég pedig a Clop ransomware banda megcélozta a South Staffordshire vízszolgáltató az Egyesült Királyságban. Noha ezek a támadások nem mindig sikeresek, a kockázatok súlyossága teljesen világossá vált.
A vízügyi ágazat biztonsági normáinak javítására irányuló korábbi kísérletek ellenére továbbra is sebezhető. Még Amerika 2018-as vízi infrastruktúráról szóló törvénye (AWIA), amely kimondta, hogy a víziközműveknek olyan katasztrófaelhárítási terveket kell kidolgozniuk, amelyek a kiberbiztonsági fenyegetésekkel foglalkoznak. átfogóbb erőfeszítéseket az általános infrastruktúra és minőség javítására, nem változtatott jelentősen az iparág kiberbiztonsági helyzetén. Az ágazat 50,000 XNUMX különálló közművet foglal magában az Egyesült Államokban, amelyek többsége kicsi és önkormányzatok által kezelt; ez a széttagoltság, párosulva azzal, hogy az üzemeltetők nem voltak hajlandók felhagyni a meglévő gyakorlatokkal, lehetővé tette a változás lendületének megszűnését.
De az előzmények azt mondják nekünk, hogy ha jól csináljuk, a szövetségi szabályozás változást hozhat. Egy másik sérülékeny kritikus infrastrukturális ágazatban: az olajban és a gázban már előrelépést látunk. A nagy horderejűek nyomán Colonial Pipeline feltörés 2021-ben a Belbiztonsági Minisztérium Közlekedésbiztonsági Igazgatósága (TSA) gyorsan kiadott kettőt Biztonsági irányelvek, egy valamivel frissítés 2022-ben megduplázza az energiainfrastruktúra jobb védelmére irányuló erőfeszítéseit országszerte. Ezek az irányelvek a hitelesítő adatok kezelését és a hozzáférés-szabályozást hangsúlyozták, két dolgot, amelyek elsősorban a ransomware támadások blokkolását segítették volna.
Annak ellenére, hogy a csővezetékek tulajdonosai és üzemeltetői kezdetben visszakoztak, ezek a TSA-követelmények az elsők között már az egész szektort egy védettebb környezet felé vezetik. Az üzemeltetők most a proaktivitásra és a támadásmegelőzésre összpontosító biztonsági intézkedésekre hajlanak.
Hívás a támadásmegelőzésért nagyobb védelmet biztosít
A legfontosabb különbség itt az, hogy a A TSA irányelvei végrehajtási terveket igényelnek kiber számára védelem, nem csak az események észlelésére és reagálására. Egyszer az üzemeltetőknek kellett védelme
saját maguk, nem csak az események utólagos reagálása – és miután a szövetségi kormány felülvizsgálta kibervédelmi terveiket –, az olaj- és gázszektor komoly mozgásba kezdett.
És most, az OMB ügynökségeknek szóló útmutatásával, a kibervédelem ugyanazon közvetlen felügyelete más ágazatokban is megjelenik, beleértve a vizet is. Más szóval, az olajon és gázon belüli mozgás egy tipp arra, hogy mi várható más kritikus infrastruktúrák számára.
A 2021-es Oldsmar hack megmutatta a világnak, hogy milyen könnyű – és milyen pusztító – lehet egy vízinövény elleni támadás. A történelmi iparági normáktól függetlenül a egyértelmű szükség van a jobb kiberbiztonságra megjelent, és úgy tűnik, hogy a kormány készen áll agresszívebben haladni, mint valaha. A létfontosságú infrastruktúrák jobb biztonsága felé irányuló széles körű törekvése készen áll arra, hogy katalizátorként szolgáljon, amelyre sok ágazatnak, például a víziparnak, égető szüksége van.
Az üzemtulajdonosok és -üzemeltetők többé nem hagyhatják figyelmen kívül a kockázatokat; nehezebb szabályozás a „mikor”, nem a „ha”. Most van itt az ideje, hogy jobb, modernebb kiberbiztonságra törekedjenek.
