בעקבות התקפות סייבר בסיכון גבוה וסיקור עיתונאי מיינסטרים לאחר מכן, הממשלה הפדרלית מתקדמת לקראת דרישות חדשות לאבטחת סייבר של תשתית קריטית.
חודש יולי תזכיר משרד הניהול והתקציב (OMB). (PDF) קרא לסוכנויות ברחבי הממשל הפדרלי לקבוע "תקני ביצוע" ספציפיים לאבטחת סייבר עבור התעשיות שלהם - ובאופן משמעותי אף יותר, לתקצב לסוכנות הפדרלית "סקירה והערכה" של תוכניות להקשחת סייבר שהוכנו על ידי ארגונים הנדרשים לעמוד אותם סטנדרטים חדשים.
דרוש: סקירה הפדרלית והערכה של תוכניות
רמה זו של פיקוח ישיר מרחיבה את הגישה המיושמת כיום רק על התשתית הלאומית הקריטית ביותר - בעיקר רשת החשמל (בפיקוח על ידי משרד האנרגיה, הוועדה הפדרלית לאמינות האנרגיה, ו- North Amerian Reliability Corp.) והנפט והגז צינורות (Department of Homeland Security and Transportation Security Administration) - על פני כל מגוון התעשיות האמריקאיות שאנשים מסתמכים עליהן, כולל קמעונאות, תרופות, כימיקלים, תחבורה והפצה, מזון ומשקאות ועוד רבים אחרים.
ענף אחד שצפוי להרגיש את הפעילות הרגולטורית הזו בצורה חזקה, ולראות שינויים מהותיים כתוצאה מכך, הוא משק המים. פגיעות מאוד להתקפות סייבר, תקני מים זקוקים בדחיפות לרענון - ואכיפה - תקני אבטחה. למעשה, ממשל ביידן רמז לאחרונה כי הסוכנות להגנת הסביבה (EPA) אמורה להוציא כלל חדש שיכלול אבטחת סייבר בסקירות תברואה של מתקני המים של המדינה - בנוסף תמיכה בסטנדרטים גבוהים יותר בכל הנוגע לאבטחת סייבר.
ההימור גבוה: מערכת טיפוסית לעיבוד מים עירונית מסננת 16 מיליון ליטרים של מים בכל יום, והאקר מצליח אחד עלול לקלקל את כל אספקת המים של הקהילה. זה לא חשש היפותטי - קבוצת פריצה הצליחה לחדור לאחרונה ל-א מערכת טיפול במים באולדסמאר, פלורידה. על ידי התעסקות עם כמות הזבובים במים, הם מסכנים עיר שלמה. ולאחרונה, כנופיית תוכנת הכופר של קלופ כיוונה את דרום סטפורדשייר חברת המים בבריטניה. אמנם התקפות אלו לא תמיד מצליחות, אך חומרת הסיכונים הובהרה היטב.
למרות ניסיונות קודמים לשפר את תקני האבטחה של משק המים, הוא נותר פגיע. אֲפִילוּ חוק תשתיות המים של אמריקה משנת 2018 (AWIA), אשר קבעה כי חברות המים חייבות לפתח תוכניות תגובה לשעת חירום המתייחסות לאיומי אבטחת סייבר כחלק מ מאמץ רחב יותר לשיפור התשתית והאיכות הכוללת, לא שינה משמעותית את עמדת אבטחת הסייבר עבור התעשייה. המגזר מקיף 50,000 שירותים נפרדים בארצות הברית, רובם קטנים ומנוהלים על ידי עיריות; פיצול זה, יחד עם חוסר נכונות כללית מצד המפעילים לנטוש את הפרקטיקות הקיימות, אפשרו את הדחף לשינוי להתפוגג.
אבל התקדים אומר לנו שכאשר עושים זאת נכון, התקנות הפדרליות יכולות לעשות את ההבדל. אנחנו כבר רואים התקדמות במגזר תשתיות קריטי פגיע אחר: נפט וגז. בעקבות הפרופיל הגבוה פריצת צינור קולוניאלי בשנת 2021, מינהל אבטחת התחבורה של המשרד לביטחון פנים (TSA) פרסם במהירות שניים הנחיות אבטחהעם עדכון בשנת 2022, והכפיל את מאמציה להבטיח הגנה טובה יותר על תשתית אנרגיה בפריסה ארצית. הנחיות אלו הדגישו ניהול אישורים ובקרת גישה, שני דברים שהיו עוזרים לחסום את מתקפת תוכנת הכופר מלכתחילה.
למרות דחיפה ראשונית מצד בעלי ומפעילי צינורות, דרישות ה-TSA הראשונות מסוגן כבר מובילות את המגזר כולו לעבר סביבה מוגנת יותר. המפעילים נוטים כעת לאמצעי אבטחה שבמרכזם פרואקטיביות ומניעת תקיפות.
קריאה למניעת תקיפה מובילה ליותר הגנה
ההבדל העיקרי כאן הוא שה הנחיות TSA דורשות תוכניות יישום עבור סייבר ., לא רק לזיהוי ותגובה של אירועים. פעם מפעילים נדרשו להגן
עצמם, לא רק מגיבים לאירועים לאחר מעשה - וברגע שהממשלה הפדרלית בחנה את תוכניות הגנת הסייבר שלהם - מגזר הנפט והגז החל לזוז ברצינות.
ועכשיו, עם הנחיית ה-OMB לסוכנויות, אותו פיקוח ישיר על הגנת הסייבר יגיע גם למגזרים אחרים, כולל מים. במילים אחרות, התנועה בתוך הנפט והגז היא רמז למה שעתיד לבוא עבור תשתיות קריטיות אחרות.
פריצת Oldsmar 2021 הראתה לעולם עד כמה קלה - וכמה הרסנית - מתקפה על מפעל מים יכולה להיות. ללא קשר לנורמות התעשייה ההיסטוריות, א צורך ברור באבטחת סייבר טובה יותר עלה, ונראה שהממשלה מוכנה להתקדם בצורה אגרסיבית מתמיד. הדחיפה הרחבה שלה לעבר אבטחה טובה יותר עבור תשתית קריטית צפויה להיות הזרז שסקטורים רבים, כמו מים, נזקקו נואשות.
בעלי מפעלים ומפעילים אינם יכולים עוד להתעלם מהסיכונים; רגולציה כבדה יותר הוא "מתי", לא "אם". עכשיו זה הזמן עבורם לחפש אבטחת סייבר טובה ומודרנית יותר.
