Utløst av høyrisiko cyberangrep og påfølgende mainstream pressedekning, beveger den føderale regjeringen seg mot nye krav til kritisk infrastruktur cybersikkerhet.
En juli Office of Management and Budget (OMB) notat (PDF) ba byråer over hele den føderale regjeringen om å etablere spesifikke "ytelsesstandarder" for cybersikkerhet for deres respektive bransjer - og, enda viktigere, å budsjettere for føderale byråers "gjennomgang og vurdering" av cyberherdingsplaner utarbeidet av organisasjoner som kreves for å oppfylle de nye standardene.
Nødvendig: Føderal gjennomgang og vurdering av planer
Dette nivået av direkte tilsyn utvider tilnærmingen som i dag bare brukes til den mest kritiske nasjonale infrastrukturen - spesielt det elektriske nettet (regulert av Department of Energy, Federal Energy Reliability Commission og North Amerian Reliability Corp.) og olje og gass rørledninger (Department of Homeland Security og Transportation Security Administration) – på tvers av hele spekteret av amerikanske industrier som folk er avhengige av, inkludert detaljhandel, farmasøytiske produkter, kjemikalier, transport og distribusjon, mat og drikke og mange andre.
En industri som sannsynligvis vil føle denne regulatoriske aktiviteten sterkt, og se betydelige endringer som et resultat, er vannsektoren. Vannselskapene er sterkt sårbare for nettangrep, og har et presserende behov for oppfriskede – og håndhevede – sikkerhetsstandarder. Faktisk antydet Biden-administrasjonen nylig at Environmental Protection Agency (EPA) er satt til å utstede en ny regel som vil inkludere cybersikkerhet i sanitærvurderinger av landets vannanlegg - videre støtter høyere standarder når det gjelder cybersikkerhet.
Innsatsen er høy: Et typisk kommunalt vannbehandlingssystem filtrerer 16 millioner liter vann hver dag, og en vellykket hacker kan ødelegge hele samfunnets vannforsyning. Dette er ikke en hypotetisk frykt - en hackergruppe klarte nylig å infiltrere en vannbehandlingssystem i Oldsmar, Fla. Ved å tukle med mengden lut i vannet setter de en hel by i fare. Og nylig målrettet Clop løsepengevaregjengen Sør -Staffordshire vannverk i Storbritannia. Selv om disse angrepene ikke alltid er vellykkede, har alvoret av risikoene blitt tydeliggjort.
Til tross for tidligere forsøk på å forbedre sikkerhetsstandardene for vannsektoren, er den fortsatt sårbar. Til og med America's Water Infrastructure Act av 2018 (AWIA), som uttalte at vannverk må utvikle beredskapsplaner som adresserer cybersikkerhetstrusler som en del av en bredere innsats for å forbedre den generelle infrastrukturen og kvaliteten, endret ikke cybersikkerhetsstillingen for bransjen vesentlig. Sektoren omfatter 50,000 XNUMX separate verktøy i USA, hvorav de fleste er små og administreres av kommuner; denne fragmenteringen, kombinert med generell uvilje fra operatører til å forlate eksisterende praksis, tillot drivkraften for endringen til å forsvinne.
Men presedens forteller oss at føderale forskrifter kan gjøre en forskjell når det gjøres riktig. Vi ser allerede fremgang i en annen sårbar sektor for kritisk infrastruktur: olje og gass. Følger den høyprofilerte Colonial Pipeline Hack i 2021 ga Department of Homeland Securitys Transportation Security Administration (TSA) raskt ut to Sikkerhetsdirektiver, Med en Oppdater i 2022, og doblet innsatsen for å sikre bedre beskyttelse av energiinfrastruktur over hele landet. Disse direktivene la vekt på legitimasjonsadministrasjon og tilgangskontroll, to ting som ville ha bidratt til å blokkere løsepengevareangrepet i utgangspunktet.
Til tross for innledende tilbakeslag fra rørledningseiere og operatører, fører disse første-av sitt slag TSA-krav allerede hele sektoren mot et mer beskyttet miljø. Operatører lener seg nå inn i sikkerhetstiltak sentrert rundt proaktivitet og angrepsforebygging.
Oppfordring til angrepsforebygging fører til mer beskyttelse
Den viktigste forskjellen her er at TSA-direktiver krever implementeringsplaner for cyber beskyttelse, ikke bare for hendelsesdeteksjon og respons. En gang ble operatørene pålagt beskytte
seg selv, ikke bare reagere på hendelser i etterkant - og når den føderale regjeringen gjennomgikk deres cyberbeskyttelsesplaner - begynte olje- og gasssektoren å bevege seg for alvor.
Og nå, med OMBs veiledning til byråer, vil det samme direkte tilsynet med cyberbeskyttelse også komme til andre sektorer, inkludert vann. Bevegelsen innen olje og gass er med andre ord et hint om hva som kommer for annen kritisk infrastruktur.
Oldsmar-hakket fra 2021 viste verden hvor enkelt – og hvor ødeleggende – et angrep på en vannplante kan være. Uavhengig av historiske industrinormer, a klart behov for bedre cybersikkerhet har dukket opp, og det ser ut til at regjeringen er forberedt på å gå mer offensivt frem enn noen gang. Det brede presset mot bedre sikkerhet for kritisk infrastruktur er klar til å være katalysatoren som mange sektorer, som vann, har desperat behov for.
Anleggseiere og operatører kan ikke lenger ignorere risikoen; tyngre regulering er et "når", ikke et "hvis". Nå er det på tide for dem å forfølge bedre, mer moderne cybersikkerhet.
