Il governo degli Stati Uniti ha emesso una serie di prescrizioni per preparare gli operatori delle infrastrutture critiche a disastri, attacchi fisici e attacchi informatici, ponendo l’accento sulla capacità di riprendersi da interruzioni future.
L’iniziativa, denominata “Shields Ready”, mira a convincere 16 settori infrastrutturali critici identificati a investire nel rafforzamento dei propri sistemi e servizi contro qualsiasi interruzione, indipendentemente dalla fonte. Lo sforzo, guidato sia dalla Cybersecurity and Infrastructure Security Agency (CISA) che dalla Federal Emergency Management Agency (FEMA), presuppone che si verificheranno attacchi e disastri e invita gli operatori delle infrastrutture critiche a prepararsi a mantenere i servizi in funzione.
L’interconnessione dei 16 settori delle infrastrutture critiche e la catena di fornitura su cui fanno affidamento significa che la preparazione è fondamentale, ha affermato Jen Easterly, direttore della CISA.
“Le entità infrastrutturali critiche della nostra nazione – dalle scuole agli ospedali alle strutture idriche – devono avere gli strumenti e le risorse per rispondere e riprendersi dall’interruzione”, ha affermato. ha detto in una dichiarazione. “Adottando misure oggi per prepararsi agli incidenti, le infrastrutture critiche, le comunità e gli individui possono essere meglio preparati a riprendersi dall’impatto delle minacce di domani e del futuro”.
I pericoli per le infrastrutture critiche sono aumentati negli ultimi anni, con interruzioni causate da gravi disastri – come gli incendi in California e la pandemia di coronavirus – e attacchi informatici. Negli ultimi cinque anni, ad esempio, l'azienda farmaceutica Merck ha subito una grave interruzione a causa dell’attacco informatico NotPetya nel 2017, mentre quest’anno il concorrente Pfizer subito un tornado su un importante magazzino che ha causato interruzioni nella fornitura di alcuni farmaci. E notoriamente, nel maggio 2021, l’operatore statunitense di gasdotti Colonial Pipeline ha subito un attacco ransomware, chiudendo i suoi servizi per una settimana, il che ha portato a carenza di gas in tutto il sud-est degli Stati Uniti.
Una campagna precedente, nota come “Shields Up”, si concentrava sul convincere le organizzazioni delle infrastrutture critiche a intraprendere azioni difensive in reazione a specifiche informazioni sulle minacce. Shields Ready mira a prepararsi al peggio su tutta la linea, afferma Michael Hamilton, co-fondatore e CISO di Critical Insight, una società di consulenza sulla sicurezza informatica.
“Il messaggio nascosto qui è che sta arrivando, e guardando in giro per il mondo, non è così difficile prevederlo”, dice, indicando i regolari avvertimenti dell’FBI e della CISA ai fornitori di controllo industriale e di infrastrutture critiche. “Non è difficile fare due più due e dire che il livello di minaccia per l’interruzione delle infrastrutture è aumentato”.
Iniziative politiche per Shields Ready
Un problema per l’iniziativa è che molte delle attuali raccomandazioni sono volontarie e informative. Da novembre è stato designato “Mese della sicurezza e della resilienza delle infrastrutture critiche”, CISA ha pubblicato un toolkit per i fornitori di infrastrutture critiche, un documento di 15 pagine che copre minacce specifiche, sfide alla sicurezza ed esercizi di autovalutazione. Anche l'agenzia pubblicato l’Infrastructure Resilience Planning Framework (IRPF) e guide su come sviluppare una catena di fornitura resiliente e su come rispondere a un attacco informatico.
Tuttavia, questo sforzo manca di efficacia normativa, afferma Tom Guarente, vicepresidente degli affari governativi presso Armis, una società di sicurezza OT (Operational Technology).
“Sembra che si tratti davvero di costruire resilienza a partire dalla consapevolezza situazionale, parlando dell’importanza della condivisione delle informazioni tra enti del settore pubblico e privato”, afferma. "Dicono che esiste un toolkit, ma il toolkit sembra essere composto principalmente da linee guida, sai, documenti PDF. Quindi la risposta breve è: non so cosa verrà fuori dalla campagna Shields Ready”.
Tuttavia, elaborare linee guida generali sotto l’egida di Shields Ready per tutti i 16 settori delle infrastrutture critiche è probabilmente impossibile, quindi non sorprende che lo sforzo iniziale manchi di dettagli, afferma Danielle Jablanski, stratega della sicurezza informatica OT presso Nozomi Networks, un fornitore di sicurezza informatica per OT. reti. Ogni settore delle infrastrutture critiche ha a Agenzia di gestione del rischio settoriale – in genere il Dipartimento per la sicurezza interna, ma in alcuni casi il Dipartimento dell’energia, della difesa, della salute e dei servizi umani o dei trasporti è l’SRMA designato – che definirà linee guida e requisiti specifici del settore.
“Penso che oggi il governo sia più in modalità di controllo”, afferma. “È importante ricordare che l’infrastruttura critica non è monolitica, non esiste un piano, un programma o una serie di controlli di sicurezza validi per tutti che avvantaggino allo stesso modo tutti i 16 settori”.
Incoraggiare la sicurezza delle infrastrutture critiche: carota o bastone?
Questi sforzi, nella maggior parte dei casi, sembrano mirare a coinvolgere i dirigenti del settore. Poiché la sicurezza continua a essere un centro di costo – la tassa sul fare affari – le aziende vogliono naturalmente ridurre al minimo tali spese, motivo per cui sarà probabilmente necessaria un’azione punitiva per implementare molte delle raccomandazioni, afferma Hamilton di Critical Insight.
Ritenere i dirigenti responsabili delle prestazioni della loro azienda durante un disastro o un attacco informatico, ad esempio le accuse contro il CISO di SolarWinds – è già stato un brusco risveglio per l’industria, dice.
"Dopo aver informato senatori, generali e governatori, ho scoperto che puoi parlare di russi spaventosi, catene di approvvigionamento, buffer overflow e SQL injection quanto vuoi, e otterrai solo gli occhi al cielo", dice Hamilton. “Ma non appena dici “negligenza esecutiva”, hai un pubblico. Questo è esattamente ciò che sta facendo il governo: riterranno negligente la leadership esecutiva e questo attirerà l’attenzione di tutti”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- :ha
- :È
- :non
- $ SU
- 16
- 2017
- 2021
- 7
- a
- capacità
- WRI
- operanti in
- Action
- azioni
- indirizzi
- Affari
- contro
- agenzia
- mira
- Tutti
- già
- anche
- an
- ed
- e infrastruttura
- rispondere
- in qualsiasi
- apparire
- appare
- SONO
- in giro
- AS
- assume
- At
- attacchi
- attenzione
- pubblico
- revisione
- consapevolezza
- BE
- perché
- stato
- vantaggi
- Meglio
- fra
- tavola
- entrambi
- bufferizzare
- Costruzione
- affari
- ma
- by
- California
- Bandi
- Campagna
- Materiale
- casi
- ha causato
- centro
- certo
- catena
- Catene
- sfide
- oneri
- CISO
- Co-fondatore
- Venire
- arrivo
- Comunità
- Aziende
- azienda
- concorrente
- consulenza
- continua
- di controllo
- controlli
- convincere
- coronavirus
- Pandemia di coronavirus
- Costo
- copertura
- critico
- Infrastruttura critica
- Corrente
- Attacco informatico
- attacchi informatici
- Cybersecurity
- pericoli
- Daniela
- Difesa
- difensiva
- Shirts Department
- Dipartimento di Sicurezza Nazionale
- designato
- dettagli
- sviluppare
- Direttore
- disastro
- disastri
- Rottura
- interruzioni
- documento
- documenti
- fare
- don
- giù
- farmaci
- soprannominato
- durante
- ogni
- sforzo
- sforzi
- emergenza
- enfasi
- energia
- entità
- tutti
- di preciso
- esempio
- esecutivo
- dirigenti
- strutture
- notoriamente
- fbi
- Federale
- Impresa
- cinque
- concentrato
- Nel
- essere trovato
- Contesto
- da
- futuro
- GAS
- Generale
- ottenere
- ottenere
- andando
- andato
- Enti Pubblici
- linee guida
- Guide
- Hamilton
- accadere
- Hard
- Avere
- avendo
- he
- Salute e benessere
- qui
- nascosto
- tenere
- patria
- Homeland Security
- ospedali
- Come
- Tutorial
- HTML
- HTTPS
- umano
- i
- identificato
- Impact
- implementato
- importanza
- importante
- impossibile
- in
- è aumentato
- individui
- industriale
- industria
- inevitabile
- informazioni
- Informativo
- Infrastruttura
- inizialmente
- iniziativa
- iniziative
- intuizione
- Intelligence
- ai miglioramenti
- Investire
- Rilasciato
- IT
- SUO
- jen
- jpg
- ad appena
- mantenere
- Sapere
- conosciuto
- Leadership
- Guidato
- Livello
- leggera
- probabile
- cerca
- fatto
- maggiore
- make
- gestione
- molti
- Importanza
- Maggio..
- si intende
- messaggio
- Michael
- Moda
- Monolitico
- Mese
- Scopri di più
- maggior parte
- soprattutto
- devono obbligatoriamente:
- nazione
- necessaria
- reti
- no
- Novembre
- of
- on
- operativa
- operatore
- Operatori
- or
- organizzazioni
- nostro
- su
- pandemia
- parte
- passato
- performance
- Pfizer
- Pharmaceutical
- Fisico
- conduttura
- piano
- pianificazione
- Platone
- Platone Data Intelligence
- PlatoneDati
- predire
- Preparare
- preparato
- preparazione
- Presidente
- precedente
- un bagno
- settore privato
- Problema
- Programma
- fornitore
- fornitori
- la percezione
- metti
- ransomware
- RE
- reazione
- pronto
- veramente
- recente
- raccomandazioni
- Recuperare
- Basic
- normativo
- fare affidamento
- ricorda
- Requisiti
- elasticità
- elastico
- Risorse
- Rispondere
- Rischio
- gestione del rischio
- running
- Russi
- s
- Sicurezza
- Suddetto
- stesso
- dire
- dice
- Scuole
- settore
- specifico del settore
- Settori
- problemi di
- SENATORI
- Serie
- Servizi
- set
- grave
- compartecipazione
- lei
- Corti
- la carenza di
- chiudendo
- da
- So
- alcuni
- presto
- Fonte
- sud-est
- condutto
- specifico
- Di partenza
- stati
- Passi
- Stratega
- tale
- fornire
- supply chain
- Catene di fornitura
- SISTEMI DI TRATTAMENTO
- Fai
- presa
- Parlare
- parlando
- imposta
- Tecnologia
- condizioni
- che
- Il
- Il futuro
- L'iniziativa
- L’ORIGINE
- il mondo
- loro
- Là.
- di
- think
- questo
- quest'anno
- quelli
- minaccia
- minacce
- per tutto
- a
- oggi
- insieme
- tom
- domani
- toolkit
- strumenti
- tornado
- toccare
- verso
- trasporti
- seconda
- tipicamente
- ombrello
- per
- Unito
- Stati Uniti
- us
- noi governo
- Ve
- vice
- Vicepresidente
- volontario
- volere
- Water
- settimana
- Che
- quale
- while
- perché
- volere
- con
- mondo
- Salsiccia di assorbimento
- anno
- anni
- Tu
- zefiro
