Inicjatywa na rzecz infrastruktury krytycznej „Shields Ready” rozwiązuje problem nieuniknionych cyberataków

Rząd USA wydał szereg zaleceń dotyczących przygotowania operatorów infrastruktury krytycznej na katastrofy, ataki fizyczne i cyberataki, kładąc nacisk na zdolność do odzyskiwania sprawności po zakłóceniach w przyszłości.

Inicjatywa nazwana „Shields Ready” ma na celu przekonanie 16 zidentyfikowanych sektorów infrastruktury krytycznej do inwestowania w wzmacnianie swoich systemów i usług przed wszelkimi zakłóceniami, niezależnie od ich źródła. Wysiłki, na czele których stoją zarówno Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), jak i Federalna Agencja Zarządzania Kryzysowego (FEMA), zakładają, że ataki i katastrofy będą miały miejsce, oraz wzywają operatorów infrastruktury krytycznej do przygotowania się do utrzymania działania usług.

Wzajemne powiązania 16 sektorów infrastruktury krytycznej oraz łańcucha dostaw, na którym się one opierają, oznaczają, że gotowość ma kluczowe znaczenie, powiedziała Jen Easterly, dyrektor CISA.

„Podmioty infrastruktury krytycznej w naszym kraju – od szkół, szpitali po obiekty wodociągowe – muszą posiadać narzędzia i zasoby, aby reagować na zakłócenia i wychodzić z nich cało” – dodała. w oświadczeniu. „Podejmując już dziś kroki w celu przygotowania się na incydenty, infrastruktura krytyczna, społeczności i pojedyncze osoby mogą być lepiej przygotowane do odbudowy po skutkach zagrożeń jutra i przyszłości”.

W ostatnich latach wzrosły zagrożenia dla infrastruktury krytycznej z powodu zakłóceń spowodowanych poważnymi katastrofami – takimi jak pożary w Kalifornii i pandemia wirusa koronaawirusa – oraz cyberatakami. W ciągu ostatnich pięciu lat na przykład firma farmaceutyczna Merck doznał poważnej awarii z powodu cyberataku NotPetya w 2017 r., podczas gdy tegoroczny konkurent Pfizer doznał uderzenia tornada na dużym magazynie, co spowodowało zakłócenia w dostawach niektórych leków. I słynnie, że w maju 2021 r. amerykański operator rurociągu Colonial Pipeline padło ofiarą ataku ransomware, wstrzymując świadczenie usług na tydzień, co doprowadziło do niedoborów gazu w południowo-wschodnich Stanach Zjednoczonych.

Poprzednia kampania, znana jako „Shields Up”, skupiała się na przekonaniu organizacji zajmujących się infrastrukturą krytyczną do podjęcia działań obronnych w reakcji na konkretne informacje o zagrożeniach. W Shields Ready chodzi przede wszystkim o przygotowanie się na najgorsze, mówi Michael Hamilton, współzałożyciel i CISO firmy doradczej Critical Insight zajmującej się cyberbezpieczeństwem.

„Ukryty komunikat jest taki, że nadchodzi i patrząc po całym świecie, nie jest aż tak trudno to przewidzieć”, mówi, wskazując regularne ostrzeżenia FBI i CISA kierowane do dostawców kontroli przemysłowej i infrastruktury krytycznej. „Nie jest trudno dodać dwa do dwóch i powiedzieć: wiesz, że poziom zagrożenia wzrósł z powodu zakłóceń w infrastrukturze”.

Inicjatywy polityczne na rzecz tarcz gotowych

Problemem inicjatywy jest to, że wiele z obecnych zaleceń ma charakter dobrowolny i informacyjny. Od listopada obchodzony jest jako „Miesiąc bezpieczeństwa i odporności infrastruktury krytycznej” – CISA opublikował zestaw narzędzi w przypadku dostawców infrastruktury krytycznej – 15-stronicowy dokument obejmujący konkretne zagrożenia, wyzwania w zakresie bezpieczeństwa i ćwiczenia w zakresie samooceny. Agencja również opublikowany ramy planowania odporności infrastruktury (IRPF) oraz wytyczne dotyczące rozwijania odpornego łańcucha dostaw i reagowania na cyberatak.

Mimo to wysiłkom tym brakuje podstaw regulacyjnych, mówi Tom Guarente, wiceprezes ds. rządowych w Armis, firmie zajmującej się bezpieczeństwem w oparciu o technologię operacyjną (OT).

„Wydaje się, że tak naprawdę chodzi o budowanie odporności, zaczynając od świadomości sytuacyjnej, mówiąc o znaczeniu wymiany informacji między podmiotami sektora publicznego i prywatnego” – mówi. „Mówią, że istnieje zestaw narzędzi, ale wydaje się, że składa się on głównie z wytycznych — no wiesz, dokumentów PDF. Krótka odpowiedź brzmi: nie wiem, co wyniknie z kampanii Shields Ready”.

Jednak opracowanie ogólnych wytycznych w ramach Shields Ready dla wszystkich 16 sektorów infrastruktury krytycznej jest prawdopodobnie niemożliwe, więc nie jest zaskakujące, że w początkowym wysiłku brakuje szczegółów, mówi Danielle Jablanski, strateg ds. cyberbezpieczeństwa OT w Nozomi Networks, dostawcy cyberbezpieczeństwa dla OT sieci. Każdy sektor infrastruktury krytycznej ma Agencja Zarządzania Ryzykiem Sektorowym — zazwyczaj Departament Bezpieczeństwa Wewnętrznego, ale w niektórych przypadkach Departament Energii, Obrony, Zdrowia i Opieki Społecznej lub Transportu jest wyznaczonym SRMA, który opracuje wytyczne i wymagania dla poszczególnych sektorów.

„Myślę, że dziś rząd raczej przechodzi w tryb audytu” – mówi. „Należy pamiętać, że infrastruktura krytyczna nie jest monolityczna. Nie ma uniwersalnego planu, programu ani zestawu zabezpieczeń, które przyniosłyby takie same korzyści wszystkim 16 sektorom”.

Zachęcanie do bezpieczeństwa infrastruktury krytycznej: marchewka czy kij?

Wydaje się, że wysiłki te w większości mają niewielki wpływ na pozyskanie kadry kierowniczej z branży. Ponieważ bezpieczeństwo w dalszym ciągu stanowi centrum kosztów – podatek od prowadzenia działalności gospodarczej – firmy w naturalny sposób chcą minimalizować te wydatki, dlatego prawdopodobnie konieczne będą działania karne, aby wiele zaleceń zostało wdrożonych, mówi Hamilton z Critical Insight.

Pociąganie kadry kierowniczej do odpowiedzialności za działanie firmy podczas katastrofy lub cyberataku — np zarzuty wobec CISO SolarWinds – już było brutalnym przebudzeniem dla branży, mówi.

„Po zapoznaniu się z senatorami, generałami i gubernatorami odkryłem, że możesz mówić o strasznych Rosjanach, łańcuchach dostaw, przepełnieniach buforów i wstrzykiwaniu SQL, ile chcesz, a ludzie po prostu przewracają oczami” – mówi Hamilton. „Ale gdy tylko powiesz „zaniedbanie kadry kierowniczej”, masz publiczność. Dokładnie to robi rząd — zamierza uznać kierownictwo wykonawcze za zaniedbanie i to przyciąga uwagę wszystkich”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks