Il settore idrico trarrà vantaggio dalla richiesta di rafforzamento informatico delle infrastrutture critiche

Spinto da attacchi informatici ad alto rischio e dalla successiva copertura della stampa mainstream, il governo federale si sta muovendo verso nuovi requisiti per la sicurezza informatica delle infrastrutture critiche.

A luglio Nota dell'Ufficio di gestione e bilancio (OMB). (PDF) ha chiesto alle agenzie di tutto il governo federale di stabilire specifici "standard di prestazione" di sicurezza informatica per i rispettivi settori e, cosa ancora più significativa, di prevedere un budget per la "revisione e valutazione" dell'agenzia federale dei piani di cyber-hardening preparati dalle organizzazioni tenute a soddisfare quei nuovi standard.

Necessario: revisione federale e valutazione dei piani

Questo livello di supervisione diretta estende l'approccio che oggi viene applicato solo alle infrastrutture nazionali più critiche, in particolare la rete elettrica (regolata dal Dipartimento dell'Energia, la Federal Energy Reliability Commission e la North Amerian Reliability Corp.) e il petrolio e il gas pipelines (Department of Homeland Security and the Transportation Security Administration) — in tutta la gamma di industrie statunitensi su cui le persone fanno affidamento, tra cui vendita al dettaglio, farmaceutica, chimica, trasporti e distribuzione, alimenti e bevande e molti altri.

Un settore che probabilmente risentirà fortemente di questa attività di regolamentazione e vedrà di conseguenza cambiamenti sostanziali, è il settore idrico. Fortemente vulnerabili agli attacchi informatici, i servizi idrici hanno urgente bisogno di standard di sicurezza aggiornati e applicati. In effetti, l'amministrazione Biden ha recentemente lasciato intendere che l'Environmental Protection Agency (EPA) è pronta a emanare una nuova regola che includerebbe la sicurezza informatica nelle revisioni igienico-sanitarie delle strutture idriche della nazione - ulteriormente sostenere standard più elevati in materia di sicurezza informatica.

La posta in gioco è alta: un tipico sistema municipale di trattamento dell'acqua filtra 16 milioni di litri d'acqua ogni giorno e un hacker di successo potrebbe contaminare l'intero approvvigionamento idrico della comunità. Questa non è una paura ipotetica: un gruppo di hacker è recentemente riuscito a infiltrarsi in un sistema di trattamento delle acque a Oldsmar, in Florida. Armeggiando con la quantità di liscivia nell'acqua, hanno messo a rischio un'intera città. E di recente, la banda di ransomware Clop ha preso di mira il Staffordshire meridionale servizio idrico nel Regno Unito. Sebbene questi attacchi non abbiano sempre successo, la gravità dei rischi è stata ampiamente chiarita.

Nonostante i precedenti tentativi di migliorare gli standard di sicurezza per il settore idrico, esso rimane vulnerabile. Anche Legge sulle infrastrutture idriche americane del 2018 (AWIA), che ha affermato che i servizi idrici devono sviluppare piani di risposta alle emergenze che affrontino le minacce alla sicurezza informatica come parte di a uno sforzo più ampio per migliorare l'infrastruttura complessiva e la qualità, non ha modificato in modo significativo la posizione di sicurezza informatica per il settore. Il settore comprende 50,000 servizi separati negli Stati Uniti, la maggior parte dei quali sono piccoli e gestiti dai comuni; questa frammentazione, unita alla generale riluttanza da parte degli operatori ad abbandonare le pratiche esistenti, ha permesso di esaurire la spinta al cambiamento.

Ma i precedenti ci dicono che, se fatti bene, i regolamenti federali possono fare la differenza. Stiamo già assistendo a progressi in un altro settore vulnerabile delle infrastrutture critiche: petrolio e gas. A seguire l'alto profilo Hack Colonial Pipeline nel 2021, la Transportation Security Administration (TSA) del Department of Homeland Security ne ha rilasciati rapidamente due Direttive di sicurezza, Con uno update nel 2022, raddoppiando gli sforzi per garantire una migliore protezione delle infrastrutture energetiche a livello nazionale. Queste direttive enfatizzavano la gestione delle credenziali e il controllo degli accessi, due cose che avrebbero aiutato a bloccare l'attacco ransomware in primo luogo.

Nonostante l'iniziale respingimento da parte dei proprietari e degli operatori del gasdotto, questi requisiti TSA unici nel loro genere stanno già portando l'intero settore verso un ambiente più protetto. Gli operatori si stanno ora affidando a misure di sicurezza incentrate sulla proattività e sulla prevenzione degli attacchi.

La richiesta di prevenzione degli attacchi porta a una maggiore protezione

La differenza fondamentale qui è che il Le direttive TSA richiedono piani di attuazione per l'informatica protezione, non solo per il rilevamento e la risposta agli incidenti. Una volta che gli operatori erano tenuti a protegge
stessi, non solo rispondere agli eventi dopo il fatto - e una volta che il governo federale ha rivisto i propri piani di protezione informatica - il settore del petrolio e del gas ha iniziato a muoversi sul serio.

E ora, con la guida dell'OMB alle agenzie, la stessa supervisione diretta della protezione informatica arriverà anche ad altri settori, compreso quello idrico. In altre parole, il movimento all'interno di petrolio e gas è un indizio di ciò che verrà per altre infrastrutture critiche.

L'hack di Oldsmar del 2021 ha mostrato al mondo quanto possa essere facile e devastante un attacco a una pianta acquatica. Indipendentemente dalle norme del settore storico, a chiara necessità di una migliore sicurezza informatica è emerso e sembra che il governo sia pronto ad andare avanti in modo più aggressivo che mai. La sua ampia spinta verso una migliore sicurezza per le infrastrutture critiche è destinata a essere il catalizzatore di cui molti settori, come quello idrico, hanno un disperato bisogno.

I proprietari e gli operatori degli impianti non possono più ignorare i rischi; regolamento più pesante è un "quando", non un "se". Ora è il momento per loro di perseguire una sicurezza informatica migliore e più moderna.