リスクの高いサイバー攻撃とその後の主流の報道に刺激されて、連邦政府は重要なインフラストラクチャのサイバーセキュリティに対する新しい要件に向けて動き出しています。
7月 管理予算局 (OMB) メモ (PDF) 連邦政府全体の機関に対し、それぞれの業界に固有のサイバーセキュリティの「パフォーマンス基準」を確立するよう求めました。さらに重要なことは、連邦機関が満たす必要のある組織によって作成されたサイバー強化計画の「レビューと評価」に予算を組むことです。それらの新しい基準。
必要: 計画の連邦審査と評価
このレベルの直接監督は、今日最も重要な国家インフラ、特に配電網 (エネルギー省、連邦エネルギー信頼性委員会、および北アメリカ信頼性公社によって規制されている) および石油とガスにのみ適用されているアプローチを拡張します。パイプライン (国土安全保障省および運輸保安局) — 小売、製薬、化学、運輸および流通、食品および飲料など、人々が依存している米国のあらゆる産業にわたっています。
この規制活動を強く感じ、その結果として大きな変化が見られる業界の XNUMX つが水産業です。 サイバー攻撃に対して非常に脆弱な水道事業体は、セキュリティ基準の更新と施行を緊急に必要としています。 実際、バイデン政権は最近、環境保護庁 (EPA) が、国内の水道施設の衛生審査にサイバーセキュリティを含む新しい規則を発行する予定であることをほのめかしました。 サイバーセキュリティに関して、より高い基準をサポート.
リスクは高い: 典型的な地方自治体の水処理システムは、毎日 16 万ガロンの水をろ過しており、XNUMX 人のハッカーが成功すると、コミュニティの水供給全体が汚染される可能性があります。 これは架空の恐怖ではありません。ハッキング グループが最近、 フロリダ州オールズマーの水処理システム。 水の中の灰汁の量をいじくり回すことで、彼らは町全体を危険にさらしました。 そして最近、Clop ランサムウェア ギャングは、 サウススタッフォードシャー イギリスの水道会社。 これらの攻撃が常に成功するとは限りませんが、リスクの重大性は十分に明らかにされています。
水部門のセキュリティ基準を改善するための以前の試みにもかかわらず、依然として脆弱なままです。 平 2018年のアメリカの水インフラ法 (AWIA) は、水道事業体は、サイバーセキュリティの脅威に対処するための緊急対応計画を作成する必要があると述べています。 全体的なインフラストラクチャと品質を改善するための幅広い取り組み、業界のサイバーセキュリティの姿勢を大きく変えることはありませんでした。 このセクターには、米国内の 50,000 の個別のユーティリティが含まれます。そのほとんどは小規模で、地方自治体によって管理されています。 この断片化は、オペレーターが既存の慣行を放棄することを一般的に望まないことと相まって、変更の推進力が衰えることを可能にしました.
しかし、先例は、正しく行われた場合、連邦規制が違いを生むことができることを教えてくれます. 石油とガスという別の脆弱な重要インフラ部門でも、すでに進歩が見られます。 ハイプロファイルに続いて 植民地時代のパイプラインハック 2021 年、国土安全保障省の運輸保安局 (TSA) はすぐに XNUMX つの セキュリティ指令と update 2022 年には、全国のエネルギー インフラストラクチャをより確実に保護するための取り組みを強化します。 これらのディレクティブは、資格情報の管理とアクセス制御を強調していました。これら XNUMX つは、そもそもランサムウェア攻撃をブロックするのに役立ちました。
パイプラインの所有者と運営者からの最初の反発にもかかわらず、これらの類のない TSA 要件は、より保護された環境に向けてセクター全体をすでにリードしています。 オペレーターは現在、プロアクティブと攻撃防止を中心としたセキュリティ対策に傾倒しています。
攻撃防止の呼びかけが保護の強化につながる
ここでの主な違いは、 TSA指令には実施計画が必要です サイバー用 保護、インシデントの検出と対応だけではありません。 かつてオペレーターは 守る
事後の出来事に対応するだけでなく、連邦政府がサイバー保護計画を見直した後、石油およびガス部門は本格的に動き始めました.
そして今、政府機関に対する OMB のガイダンスにより、サイバープロテクションの同じ直接監督が、水を含む他のセクターにももたらされます。 言い換えれば、石油とガスの動きは、他の重要なインフラに何が起こるかのヒントです。
2021 年の Oldsmar のハッキングは、水生植物への攻撃がいかに簡単で、どれほど破壊的であるかを世界に示しました。 歴史的な業界規範に関係なく、 より良いサイバーセキュリティの明確な必要性 が出現し、政府はこれまで以上に積極的に前進する準備ができているようです。 重要なインフラストラクチャのセキュリティ向上に向けた幅広い取り組みは、水などの多くのセクターが切実に必要としている触媒となる態勢が整っています。
プラントの所有者とオペレーターは、もはやリスクを無視できません。 規制強化 「もし」ではなく「いつ」です。 今こそ、より優れた最新のサイバーセキュリティを追求するときです。
