Dipicu oleh serangan siber berisiko tinggi dan liputan pers arus utama berikutnya, pemerintah federal bergerak menuju persyaratan baru untuk keamanan siber infrastruktur kritis.
Juli Memo Kantor Manajemen dan Anggaran (OMB). (PDF) meminta lembaga di seluruh pemerintah federal untuk menetapkan "standar kinerja" keamanan dunia maya khusus untuk industri mereka masing-masing — dan, yang lebih penting lagi, untuk menganggarkan "peninjauan dan penilaian" lembaga federal atas rencana pengerasan dunia maya yang disiapkan oleh organisasi yang harus dipenuhi standar baru tersebut.
Dibutuhkan: Tinjauan Federal dan Penilaian Rencana
Tingkat pengawasan langsung ini memperluas pendekatan yang saat ini hanya diterapkan pada infrastruktur nasional yang paling kritis — terutama jaringan listrik (diatur oleh Departemen Energi, Komisi Keandalan Energi Federal, dan Korporasi Keandalan Amerian Utara) dan minyak dan gas saluran pipa (Departemen Keamanan Dalam Negeri dan Administrasi Keamanan Transportasi) — di berbagai industri AS yang diandalkan orang, termasuk ritel, obat-obatan, bahan kimia, transportasi dan distribusi, makanan dan minuman, dan banyak lainnya.
Salah satu industri yang sangat mungkin merasakan aktivitas regulasi ini, dan melihat perubahan substansial sebagai hasilnya, adalah sektor air. Sangat rentan terhadap serangan dunia maya, perusahaan air sangat membutuhkan penyegaran — dan penegakan — standar keamanan. Faktanya, pemerintahan Biden baru-baru ini mengisyaratkan bahwa Badan Perlindungan Lingkungan (EPA) akan mengeluarkan aturan baru yang akan mencakup keamanan dunia maya dalam tinjauan sanitasi fasilitas air negara — lebih lanjut mendukung standar yang lebih tinggi dalam hal keamanan siber.
Taruhannya tinggi: Sistem pemrosesan air kota biasa menyaring 16 juta galon air setiap hari, dan satu peretas yang berhasil dapat mencemari seluruh pasokan air masyarakat. Ini bukan ketakutan hipotetis — sebuah grup peretasan baru-baru ini berhasil menyusup ke a sistem pengolahan air di Oldsmar, Florida. Dengan mengutak-atik jumlah alkali di dalam air, mereka membahayakan seluruh kota. Dan baru-baru ini, geng ransomware Clop menargetkan Staffordshire Selatan utilitas air di Inggris. Meskipun serangan ini tidak selalu berhasil, tingkat risikonya telah dibuat sangat jelas.
Meskipun upaya sebelumnya untuk meningkatkan standar keamanan untuk sektor air, tetap rentan. Bahkan Undang-Undang Infrastruktur Air Amerika tahun 2018 (AWIA), yang menyatakan bahwa PDAM harus mengembangkan rencana tanggap darurat yang mengatasi ancaman keamanan siber sebagai bagian dari a upaya yang lebih luas untuk meningkatkan infrastruktur dan kualitas secara keseluruhan, tidak secara signifikan mengubah postur keamanan siber untuk industri ini. Sektor tersebut mencakup 50,000 utilitas terpisah di Amerika Serikat, yang sebagian besar berukuran kecil dan dikelola oleh pemerintah kota; fragmentasi ini, ditambah dengan keengganan umum dari operator untuk meninggalkan praktik yang ada, memungkinkan dorongan untuk perubahan mereda.
Tapi preseden memberi tahu kita bahwa, jika dilakukan dengan benar, peraturan federal dapat membuat perbedaan. Kami sudah melihat kemajuan di sektor infrastruktur penting lainnya yang rentan: minyak dan gas. Mengikuti profil tinggi Peretasan Colonial Pipeline pada tahun 2021, Administrasi Keamanan Transportasi (TSA) Departemen Keamanan Dalam Negeri dengan cepat merilis dua Arahan Keamanan, dengan sebuah memperbarui pada tahun 2022, menggandakan upayanya untuk memastikan perlindungan yang lebih baik untuk infrastruktur energi secara nasional. Arahan ini menekankan manajemen kredensial dan kontrol akses, dua hal yang akan membantu memblokir serangan ransomware sejak awal.
Terlepas dari penolakan awal dari pemilik dan operator saluran pipa, persyaratan TSA pertama dari jenisnya ini telah mengarahkan seluruh sektor menuju lingkungan yang lebih terlindungi. Operator sekarang bersandar pada langkah-langkah keamanan yang berpusat pada proaktif dan pencegahan serangan.
Panggilan untuk Pencegahan Serangan Menghasilkan Lebih Banyak Perlindungan
Perbedaan utama di sini adalah bahwa Arahan TSA memerlukan rencana implementasi untuk siber perlindungan, bukan hanya untuk deteksi dan respons insiden. Setelah operator diminta untuk melindungi
diri mereka sendiri, tidak hanya menanggapi peristiwa setelah fakta - dan begitu pemerintah federal meninjau rencana perlindungan dunia maya mereka - sektor minyak dan gas mulai bergerak dengan sungguh-sungguh.
Dan sekarang, dengan panduan OMB kepada badan-badan, pengawasan langsung yang sama terhadap perlindungan dunia maya juga akan dilakukan di sektor lain, termasuk air. Dengan kata lain, pergerakan dalam minyak dan gas adalah petunjuk tentang apa yang akan datang untuk infrastruktur penting lainnya.
Peretasan Oldsmar 2021 menunjukkan kepada dunia betapa mudahnya — dan betapa dahsyatnya — serangan terhadap tanaman air. Terlepas dari norma industri historis, a kebutuhan yang jelas untuk keamanan siber yang lebih baik telah muncul, dan tampaknya pemerintah siap untuk bergerak maju lebih agresif dari sebelumnya. Dorongannya yang luas menuju keamanan yang lebih baik untuk infrastruktur penting siap menjadi katalisator yang sangat dibutuhkan oleh banyak sektor, seperti air.
Pemilik dan operator pabrik tidak dapat lagi mengabaikan risiko; regulasi yang lebih berat adalah "kapan", bukan "jika". Sekarang saatnya bagi mereka untuk mengejar keamanan siber yang lebih baik dan lebih modern.
