Den amerikanske regjeringen har utstedt en rekke resepter for å forberede kritiske infrastrukturoperatører for katastrofer, fysiske angrep og cyberangrep, med vekt på evnen til å komme seg etter forstyrrelser i fremtiden.
Initiativet, kalt «Shields Ready», tar sikte på å overbevise 16 identifiserte kritiske infrastruktursektorer til å investere i å herde systemene og tjenestene deres mot enhver forstyrrelse, uansett kilde. Innsatsen, ledet av både Cybersecurity and Infrastructure Security Agency (CISA) og Federal Emergency Management Agency (FEMA), antar at angrep og katastrofer vil skje og oppfordrer kritiske infrastrukturoperatører til å forberede seg på å holde tjenestene i gang.
Sammenkoblingen av de 16 kritiske infrastruktursektorene, og forsyningskjeden de er avhengige av, betyr at beredskapen er kritisk, sa Jen Easterly, direktør for CISA.
"Vår nasjons kritiske infrastrukturenheter - fra skoler til sykehus til vannanlegg - må ha verktøyene og ressursene til å reagere på og komme seg etter forstyrrelser," hun sa i en uttalelse. "Ved å ta skritt i dag for å forberede seg på hendelser, kan kritisk infrastruktur, lokalsamfunn og enkeltpersoner være bedre forberedt til å komme seg etter virkningen av morgendagens trusler og inn i fremtiden."
Farene for kritisk infrastruktur har økt de siste årene, med forstyrrelser forårsaket av alvorlige katastrofer - som skogbrannene i California og koronaviruspandemien - og nettangrep. I de siste fem årene, for eksempel, farmasøytisk firma Merck fikk et stort strømbrudd på grunn av NotPetya-nettangrepet i 2017, mens konkurrenten Pfizer i år fikk et tornadoangrep på et større lager som forårsaket forstyrrelser i forsyningen av visse legemidler. Og berømt, i mai 2021, den amerikanske rørledningsoperatøren Colonial Pipeline fikk et løsepenge-angrep, og stengte tjenestene sine i en uke, noe som førte til gassmangel i hele det sørøstlige USA.
En tidligere kampanje, kjent som "Shields Up", fokuserte på å overbevise kritiske infrastrukturorganisasjoner til å ta defensive handlinger som reaksjon på spesifikk trusseletterretning. Shields Ready handler om å forberede seg på det verste over hele linja, sier Michael Hamilton, medgründer og CISO av Critical Insight, et cybersikkerhetskonsulentfirma.
"Den skjulte meldingen her er at den kommer, og ser man rundt i verden er det ikke så vanskelig å forutsi," sier han, og peker på vanlige FBI- og CISA-advarsler til leverandører av industriell kontroll og kritisk infrastruktur. "Det er ikke vanskelig å sette to og to sammen og si, du vet at trusselnivået har gått opp for infrastrukturavbrudd."
Politiske initiativer for Shields Ready
Et problem for initiativet er at mange av de gjeldende anbefalingene er frivillige og informative. Siden november har blitt utnevnt til "Critical Infrastructure Security and Resilience Month," CISA publiserte et verktøysett for leverandører av kritisk infrastruktur, et 15-siders dokument som dekker spesifikke trusler, sikkerhetsutfordringer og selvevalueringsøvelser. Byrået også publisert Infrastructure Resilience Planning Framework (IRPF) og veiledninger for hvordan man kan utvikle en spenstig forsyningskjede og hvordan man reagerer på et nettangrep.
Likevel mangler innsatsen regulatoriske tenner, sier Tom Guarente, visepresident for regjeringssaker i Armis, et sikkerhetsfirma for operasjonell teknologi (OT).
"Det det ser ut til å handle om, er å bygge motstandskraft når det gjelder å starte med situasjonsbevissthet, og snakke om viktigheten av å dele informasjon mellom offentlige og private enheter," sier han. "De sier at det er et verktøysett, og men verktøysettet ser ut til å bestå hovedsakelig av retningslinjer - du vet, PDF-dokumenter. Så det korte svaret er, jeg vet ikke hva som kommer ut av Shields Ready-kampanjen.»
Likevel er det sannsynligvis umulig å komme opp med generelle retningslinjer under paraplyen Shields Ready for alle 16 kritiske infrastruktursektorer, så det er ikke overraskende at den første innsatsen mangler detaljer, sier Danielle Jablanski, OT cybersecurity strateg hos Nozomi Networks, en leverandør av cybersecurity for OT nettverk. Hver kritisk infrastruktursektor har en Sector Risk Management Agency - vanligvis Department of Homeland Security, men i noen tilfeller er Department of Energy, Defense, Health and Human Services, eller Transportation den utpekte SRMA - som vil lage sektorspesifikke retningslinjer og krav.
"Jeg tror regjeringen er mer i en revisjonsmodus i dag," sier hun. "Det er viktig å huske at kritisk infrastruktur ikke er monolittisk, det er ingen sikkerhetsplan, program eller sett med kontroller som passer alle 16 sektorer like godt."
Oppmuntre til sikkerhet for kritisk infrastruktur: Gulrot eller pinne?
Disse anstrengelsene ser for det meste ut til å ta en lett touch for å få industriledere om bord. Fordi sikkerhet fortsetter å være et kostnadssenter – skatten på å gjøre forretninger – ønsker selskaper naturligvis å minimere disse utgiftene, og derfor vil det sannsynligvis være nødvendig med straffereaksjoner for å få implementert mange av anbefalingene, sier Hamilton fra Critical Insight.
Holde ledere ansvarlige for selskapets ytelse under en katastrofe eller et nettangrep – som f.eks. anklagene mot CISO av SolarWinds — har allerede vært en frekk oppvåkning for bransjen, sier han.
"Etter å ha orientert senatorer, generaler og guvernører, har jeg funnet ut at du kan snakke om skumle russere, forsyningskjeder, bufferoverløp og SQL-injeksjon alt du vil, og du kommer bare til å få øynene opp for øynene," sier Hamilton. "Men så snart du sier 'utøvende uaktsomhet', har du et publikum. Det er akkurat det regjeringen gjør - de kommer til å holde utøvende ledelse som uaktsom, og det får alles oppmerksomhet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- : har
- :er
- :ikke
- $OPP
- 16
- 2017
- 2021
- 7
- a
- evne
- Om oss
- tvers
- Handling
- handlinger
- adresser
- Affairs
- mot
- byrå
- mål
- Alle
- allerede
- også
- an
- og
- og infrastruktur
- besvare
- noen
- vises
- vises
- ER
- rundt
- AS
- antar
- At
- Angrep
- oppmerksomhet
- publikum
- revisjon
- bevissthet
- BE
- fordi
- vært
- Fordeler
- Bedre
- mellom
- borde
- både
- buffer
- Bygning
- virksomhet
- men
- by
- california
- Samtaler
- Kampanje
- CAN
- saker
- forårsaket
- sentrum
- viss
- kjede
- kjeder
- utfordringer
- avgifter
- CISO
- Med-grunnlegger
- Kom
- kommer
- Communities
- Selskaper
- Selskapet
- konkurrent
- konsulent
- fortsetter
- kontroll
- kontroller
- overbevise
- coronavirus
- Coronavirus-pandemi
- Kostnad
- dekker
- kritisk
- Kritisk infrastruktur
- Gjeldende
- Cyber angrep
- cyberattacks
- Cybersecurity
- farene
- Danielle
- Forsvar
- defensiv
- Avdeling
- innenriksdepartementet
- utpekt
- detaljer
- utvikle
- Regissør
- katastrofe
- katastrofer
- Avbrudd
- forstyrrelser
- dokument
- dokumenter
- gjør
- Don
- ned
- Narkotika
- dubbet
- under
- hver enkelt
- innsats
- innsats
- nødsituasjon
- vekt
- energi
- enheter
- alle
- nøyaktig
- eksempel
- utøvende
- ledere
- fasiliteter
- famously
- FBI
- Federal
- Firm
- fem
- fokuserte
- Til
- funnet
- Rammeverk
- fra
- framtid
- GAS
- general
- få
- få
- skal
- borte
- Regjeringen
- retningslinjer
- Guider
- Hamilton
- skje
- Hard
- Ha
- å ha
- he
- Helse
- her.
- skjult
- hold
- hjemland
- Homeland Security
- sykehus
- Hvordan
- Hvordan
- HTML
- HTTPS
- menneskelig
- i
- identifisert
- Påvirkning
- implementert
- betydning
- viktig
- umulig
- in
- økt
- individer
- industriell
- industri
- uunngåelig
- informasjon
- Informativ
- Infrastruktur
- innledende
- Initiative
- initiativer
- innsikt
- Intelligens
- inn
- Investere
- Utstedt
- IT
- DET ER
- jen
- jpg
- bare
- Hold
- Vet
- kjent
- Ledelse
- Led
- Nivå
- lett
- Sannsynlig
- ser
- laget
- større
- gjøre
- ledelse
- mange
- Saken
- Kan..
- midler
- melding
- Michael
- Mote
- Monolithic
- Måned
- mer
- mest
- for det meste
- må
- nasjon
- nødvendig
- nettverk
- Nei.
- November
- of
- on
- operasjonell
- operatør
- operatører
- or
- organisasjoner
- vår
- ut
- pandemi
- del
- Past
- ytelse
- Pfizer
- Pharmaceutical
- fysisk
- rørledning
- fly
- planlegging
- plato
- Platon Data Intelligence
- PlatonData
- forutsi
- Forbered
- forberedt
- forbereder
- president
- forrige
- privat
- privat sektor
- Problem
- program
- leverandør
- tilbydere
- offentlig
- sette
- ransomware
- RE
- reaksjon
- klar
- virkelig
- nylig
- anbefalinger
- Gjenopprette
- regelmessig
- regulatorer
- avhengige
- husker
- Krav
- resiliens
- spenstig
- Ressurser
- Svare
- Risiko
- risikostyring
- rennende
- Russere
- s
- Sikkerhet
- Sa
- samme
- sier
- sier
- Skoler
- sektor
- sektorspesifikk
- sektorer
- sikkerhet
- SENATORER
- Serien
- Tjenester
- sett
- alvorlig
- deling
- hun
- Kort
- mangel
- nedleggelse
- siden
- So
- noen
- snart
- kilde
- sørøst
- spydspiss
- spesifikk
- Start
- Stater
- Steps
- Strategist
- slik
- levere
- forsyningskjeden
- Forsyningskjeder
- Systemer
- Ta
- ta
- Snakk
- snakker
- skatt
- Teknologi
- vilkår
- Det
- De
- Fremtiden
- Initiativet
- Kilden
- verden
- deres
- Der.
- de
- tror
- denne
- dette året
- De
- trussel
- trusler
- hele
- til
- i dag
- sammen
- tom
- i morgen
- verktøykasse
- verktøy
- tornado
- berøre
- mot
- transport
- to
- typisk
- paraply
- etter
- forent
- Forente Stater
- us
- oss regjering
- Ve
- vice
- Vice President
- frivillig
- ønsker
- Vann
- uke
- Hva
- hvilken
- mens
- hvorfor
- vil
- med
- verden
- verste
- år
- år
- Du
- zephyrnet
