Aangewakkerd door risicovolle cyberaanvallen en de daaropvolgende berichtgeving in de reguliere pers, is de federale overheid op weg naar nieuwe eisen voor de cyberbeveiliging van kritieke infrastructuur.
een juli Memo van het Office of Management and Budget (OMB). (PDF) riep agentschappen binnen de federale overheid op om specifieke โprestatienormenโ op het gebied van cyberbeveiliging vast te stellen voor hun respectieve sectoren โ en, nog belangrijker, om geld te besteden aan de โevaluatie en beoordelingโ door federale agentschappen van plannen voor cyberverharding die zijn opgesteld door organisaties die moeten voldoen die nieuwe normen.
Nodig: federale herziening en beoordeling van plannen
Dit niveau van direct toezicht breidt de aanpak uit die vandaag de dag alleen wordt toegepast op de meest kritieke nationale infrastructuur โ met name het elektriciteitsnet (gereguleerd door het ministerie van Energie, de Federal Energy Reliability Commission en de North Amerian Reliability Corp.) en de olie- en gassector. pijpleidingen (Department of Homeland Security en de Transportation Security Administration) โ in het volledige scala van Amerikaanse industrieรซn waar mensen op vertrouwen, waaronder de detailhandel, de farmaceutische industrie, de chemische industrie, transport en distributie, voedsel en drank en vele andere.
Eรฉn sector die deze regelgevende activiteit waarschijnlijk sterk zal voelen en als gevolg daarvan substantiรซle veranderingen zal zien, is de watersector. Waterbedrijven zijn zeer kwetsbaar voor cyberaanvallen en hebben dringend behoefte aan vernieuwde โ en afgedwongen โ veiligheidsnormen. De regering-Biden heeft onlangs zelfs laten doorschemeren dat de Environmental Protection Agency (EPA) op het punt staat een nieuwe regel uit te vaardigen die cyberbeveiliging zou opnemen in sanitaire beoordelingen van de waterfaciliteiten van het land โ verder het ondersteunen van hogere normen als het gaat om cyberbeveiliging.
De inzet is hoog: een typisch gemeentelijk waterverwerkingssysteem filtert elke dag 16 miljoen liter water, en รฉรฉn succesvolle hacker kan de hele watervoorziening van de gemeenschap besmetten. Dit is geen hypothetische angst: een hackgroep is er onlangs in geslaagd een waterbehandelingssysteem in Oldsmar, Florida. Door te sleutelen aan de hoeveelheid loog in het water, brachten ze een hele stad in gevaar. En onlangs richtte de Clop-ransomwarebende zich op de Zuid-Staffordshire waterbedrijf in Groot-Brittanniรซ. Hoewel deze aanvallen niet altijd succesvol zijn, is de ernst van de risico's overduidelijk gemaakt.
Ondanks eerdere pogingen om de veiligheidsnormen voor de watersector te verbeteren, blijft deze kwetsbaar. Zelfs De Amerikaanse Water Infrastructure Act van 2018 (AWIA), waarin werd gesteld dat waterbedrijven noodplannen moeten ontwikkelen die cyberveiligheidsbedreigingen aanpakken als onderdeel van een bredere inspanningen om de algehele infrastructuur en kwaliteit te verbeteren, heeft de cyberbeveiligingssituatie voor de sector niet significant veranderd. De sector omvat 50,000 afzonderlijke nutsbedrijven in de Verenigde Staten, waarvan de meeste klein zijn en worden beheerd door gemeenten; Deze fragmentatie, gekoppeld aan de algemene onwil van exploitanten om bestaande praktijken op te geven, zorgde ervoor dat de impuls voor verandering wegebde.
Maar een precedent leert ons dat federale regelgeving, als ze goed wordt uitgevoerd, een verschil kan maken. We zien nu al vooruitgang in een andere kwetsbare sector van de kritieke infrastructuur: olie en gas. Na het spraakmakende Koloniale pijplijn hack in 2021 heeft de Transportation Security Administration (TSA) van het Department of Homeland Security er snel twee vrijgegeven Beveiligingsrichtlijnen, Met een -update in 2022, en verdubbelde haar inspanningen om een โโbetere bescherming van de energie-infrastructuur in het hele land te garanderen. Deze richtlijnen legden de nadruk op het beheer van inloggegevens en toegangscontrole, twee dingen die de ransomware-aanval in de eerste plaats hadden kunnen helpen blokkeren.
Ondanks aanvankelijke weerstand van eigenaren en exploitanten van pijpleidingen leiden deze unieke TSA-vereisten de hele sector al naar een beter beschermde omgeving. Operators kiezen nu voor beveiligingsmaatregelen die gericht zijn op proactiviteit en aanvalspreventie.
Oproep tot aanvalspreventie leidt tot meer bescherming
Het belangrijkste verschil hier is dat de TSA-richtlijnen vereisen implementatieplannen voor cyber bescherming, niet alleen voor het detecteren en reageren op incidenten. Ooit waren operators dat verplicht beschermen
zelf, en niet alleen achteraf reageren op gebeurtenissen โ en toen de federale overheid hun cyberbeschermingsplannen eenmaal had herzien โ begon de olie- en gassector serieus in beweging te komen.
En nu, met de begeleiding van de OMB aan agentschappen, zal hetzelfde directe toezicht op cyberbescherming ook naar andere sectoren komen, inclusief de watersector. Met andere woorden: de beweging binnen de olie- en gassector is een hint naar wat er gaat gebeuren voor andere kritieke infrastructuur.
De Oldsmar-hack uit 2021 liet de wereld zien hoe gemakkelijk โ en hoe verwoestend โ een aanval op een waterplant kan zijn. Ongeacht de historische industriรซle normen, a Er is een duidelijke behoefte aan betere cyberbeveiliging is naar voren gekomen en het lijkt erop dat de regering bereid is agressiever dan ooit vooruitgang te boeken. De brede drang naar een betere beveiliging van kritieke infrastructuur staat op het punt de katalysator te worden die veel sectoren, zoals de watersector, zo hard nodig hebben.
Eigenaren en exploitanten van installaties kunnen de risico's niet langer negeren; zwaardere regelgeving is een โwanneerโ, en niet een โalsโ. Dit is voor hen het moment om betere, modernere cyberbeveiliging na te streven.
