Правительство США выпустило ряд предписаний по подготовке операторов критической инфраструктуры к стихийным бедствиям, физическим и кибератакам с упором на способность восстанавливаться после сбоев в будущем.
Инициатива, получившая название «Shields Ready», направлена на то, чтобы убедить 16 выявленных критически важных секторов инфраструктуры инвестировать в защиту своих систем и услуг от любых сбоев, независимо от их источника. Усилия, возглавляемые Агентством кибербезопасности и безопасности инфраструктуры (CISA) и Федеральным агентством по чрезвычайным ситуациям (FEMA), предполагают, что атаки и катастрофы будут происходить, и призывают операторов критической инфраструктуры подготовиться к поддержанию работы служб.
Взаимосвязь 16 важнейших секторов инфраструктуры и цепочки поставок, от которой они зависят, означает, что готовность имеет решающее значение, сказала Джен Истерли, директор CISA.
«Объекты критически важной инфраструктуры нашей страны — от школ до больниц и объектов водоснабжения — должны иметь инструменты и ресурсы для реагирования на сбои и восстановления после них», — она говорится в заявлении. «Принимая меры сегодня по подготовке к инцидентам, критически важная инфраструктура, сообщества и отдельные лица могут быть лучше подготовлены к восстановлению после воздействия угроз завтрашнего дня и в будущем».
В последние годы опасности для критически важной инфраструктуры возросли: сбои в работе были вызваны серьезными стихийными бедствиями, такими как лесные пожары в Калифорнии и пандемия коронавируса, а также кибератаками. Например, за последние пять лет фармацевтическая фирма Merck произошел серьезный сбой из-за кибератаки NotPetya в 2017 году, тогда как в этом году конкурент Pfizer пострадал от удара торнадо на крупном складе, что вызвало перебои в поставках некоторых лекарств. И, как известно, в мае 2021 года американский трубопроводный оператор Colonial Pipeline пострадал от атаки программы-вымогателя, отключив свои услуги на неделю, что привело к нехватке газа на всей юго-востоке США.
Предыдущая кампания, известная как «Щиты вверх», была направлена на то, чтобы убедить организации критической инфраструктуры принять защитные меры в ответ на конкретные данные об угрозах. «Shields Ready» — это подготовка к худшему по всем направлениям, говорит Майкл Гамильтон, соучредитель и директор по информационной безопасности Critical Insight, консалтинговой компании по кибербезопасности.
«Скрытое послание заключается в том, что оно приближается, и, глядя на мир, его не так уж сложно предсказать», — говорит он, указывая на регулярные предупреждения ФБР и CISA поставщикам промышленного контроля и критической инфраструктуры. «Нетрудно сложить два и два и сказать: вы знаете, что уровень угрозы нарушения инфраструктуры возрос».
Политические инициативы «Щиты готовы»
Проблема инициативы в том, что многие из текущих рекомендаций носят добровольный и информационный характер. С ноября CISA объявляет его «Месяцем безопасности и устойчивости критической инфраструктуры». опубликовал инструментарий для поставщиков критически важной инфраструктуры — 15-страничный документ, описывающий конкретные угрозы, проблемы безопасности и упражнения по самооценке. Агентство также опубликованный Структура планирования устойчивости инфраструктуры (IRPF) и руководства о том, как разработать устойчивую цепочку поставок и как реагировать на кибератаки.
Тем не менее, этим усилиям не хватает нормативной базы, говорит Том Гуаренте, вице-президент по связям с правительством компании Armis, занимающейся безопасностью операционных технологий (ОТ).
«Похоже, что на самом деле речь идет о повышении устойчивости, начиная с ситуационной осведомленности и говоря о важности обмена информацией между организациями государственного и частного секторов», — говорит он. «Они говорят, что есть набор инструментов, но этот набор инструментов, похоже, состоит в основном из руководств — ну, вы знаете, PDF-документов. Итак, краткий ответ: я не знаю, что получится из кампании Shields Ready».
Тем не менее, разработать общие рекомендации под эгидой Shields Ready для всех 16 критически важных секторов инфраструктуры, скорее всего, невозможно, поэтому неудивительно, что первоначальным усилиям не хватает деталей, говорит Даниэль Яблански, стратег по кибербезопасности OT в Nozomi Networks, поставщике кибербезопасности для OT. сети. Каждый сектор критической инфраструктуры имеет Агентство по управлению отраслевыми рисками - обычно Министерство внутренней безопасности, но в некоторых случаях Министерство энергетики, обороны, здравоохранения и социальных служб или транспорта является назначенным SRMA, - которое будет устанавливать отраслевые рекомендации и требования.
«Я думаю, что правительство сегодня больше находится в режиме аудита», — говорит она. «Важно помнить, что критическая инфраструктура не является монолитной, не существует единого плана безопасности, программы или набора мер безопасности, который приносил бы одинаковую пользу всем 16 секторам».
Обеспечение безопасности критической инфраструктуры: кнут или пряник?
Эти усилия, по большей части, кажутся слегка направленными на привлечение к участию руководителей отрасли. Поскольку безопасность по-прежнему остается центром затрат (налогом на ведение бизнеса), компании, естественно, хотят минимизировать эти расходы, поэтому для реализации многих рекомендаций, вероятно, потребуются карательные меры, говорит Гамильтон из Critical Insight.
Привлечение руководителей к ответственности за работу своей компании во время катастрофы или кибератаки, например обвинения против директора по информационной безопасности SolarWinds — это уже стало грубым пробуждением для отрасли, — говорит он.
«Проведя инструктаж сенаторов, генералов и губернаторов, я обнаружил, что вы можете говорить о страшных русских, цепочках поставок, переполнении буфера и внедрении SQL-кода сколько угодно, и вы просто закатите глаза», — говорит Гамильтон. «Но как только вы скажете «халатность руководства», у вас появится аудитория. Это именно то, что делает правительство: они собираются обвинить исполнительное руководство в халатности, и это привлекает всеобщее внимание».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- :имеет
- :является
- :нет
- $UP
- 16
- 2017
- 2021
- 7
- a
- способность
- О нас
- через
- Действие
- действия
- адреса
- Дела
- против
- агентство
- Цель
- Все
- уже
- причислены
- an
- и
- и инфраструктура
- ответ
- любой
- появиться
- появляется
- МЫ
- около
- AS
- предполагает,
- At
- нападки
- внимание
- аудитория
- аудит
- осведомленность
- BE
- , так как:
- было
- Преимущества
- Лучшая
- между
- доска
- изоферменты печени
- буфер
- Строительство
- бизнес
- но
- by
- Калифорния
- Объявления
- Кампания
- CAN
- случаев
- вызванный
- Центр
- определенный
- цепь
- цепи
- проблемы
- расходы
- CISO
- Соучредитель
- как
- приход
- Сообщества
- Компании
- Компания
- конкурент
- консультирование
- продолжается
- контроль
- контрольная
- убеждать
- коронавирус
- Пандемия коронавируса
- Цена
- покрытие
- критической
- Критическая инфраструктура
- Текущий
- Кибератака
- кибератаки
- Информационная безопасность
- Опасности
- Danielle
- Защита
- оборонительный
- Кафедра
- Департамент внутренней безопасности
- назначенный
- подробнее
- развивать
- директор
- катастрофа
- бедствия
- Нарушение
- нарушения
- документ
- Документация
- дело
- Дон
- вниз
- Наркотики
- дублированный
- в течение
- каждый
- усилие
- усилия
- крайняя необходимость
- акцент
- энергетика
- лиц
- все
- точно,
- пример
- исполнительный
- руководителей высшего звена.
- средства
- лихо
- ФБР
- Федеральный
- Фирма
- 5
- внимание
- Что касается
- найденный
- Рамки
- от
- будущее
- ГАЗ
- Общие
- получить
- получающий
- будет
- ушел
- Правительство
- методические рекомендации
- Гиды
- Гамильтон
- происходить
- Жесткий
- Есть
- имеющий
- he
- Медицина
- здесь
- Скрытый
- держать
- родина
- Национальная Безопаность
- больницы
- Как
- How To
- HTML
- HTTPS
- человек
- i
- идентифицированный
- Влияние
- в XNUMX году
- значение
- важную
- что она
- in
- расширились
- лиц
- промышленность
- промышленность
- неизбежный
- информация
- Информационный
- Инфраструктура
- начальный
- Инициатива
- инициативы
- понимание
- Интеллекта
- в
- Грин- карта инвестору
- Выпущен
- IT
- ЕГО
- Джен
- JPG
- всего
- Сохранить
- Знать
- известный
- Наша команда
- привело
- уровень
- легкий
- Вероятно
- искать
- сделанный
- основной
- сделать
- управление
- многих
- Вопрос
- Май..
- означает
- сообщение
- Майкл
- режим
- монолитный
- Месяц
- БОЛЕЕ
- самых
- в основном
- должен
- народ
- необходимо
- сетей
- нет
- Ноябрь
- of
- on
- оперативный
- оператор
- Операторы
- or
- организации
- наши
- внешний
- пандемия
- часть
- мимо
- производительность
- Pfizer
- в Фармацевтической отрасли
- физический
- трубопровод
- план
- планирование
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- предсказывать
- Подготовить
- (например,
- подготовка
- президент
- предыдущий
- частная
- частный сектор
- Проблема
- FitPartner™
- Недвижимости
- поставщики
- что такое варган?
- положил
- вымогателей
- RE
- реакция
- готовый
- на самом деле
- последний
- рекомендаций
- Recover
- регулярный
- регуляторы
- полагаться
- помнить
- Требования
- упругость
- упругий
- Полезные ресурсы
- Реагируйте
- Снижение
- управление рисками
- Бег
- Русские
- s
- Сохранность
- Сказал
- то же
- сообщили
- говорит
- Вузы
- сектор
- отраслевой
- Сектора юридического права
- безопасность
- СЕНАТОРЫ
- Серии
- Услуги
- набор
- тяжелый
- разделение
- она
- Короткое
- дефицит
- закрытие
- с
- So
- некоторые
- скоро
- Источник
- юго-восток
- возглавил
- конкретный
- Начало
- Области
- Шаги
- Стратег
- такие
- поставка
- цепочками поставок
- Каналы поставок
- системы
- взять
- с
- Говорить
- говорить
- налог
- Технологии
- terms
- который
- Ассоциация
- Будущее
- Инициатива
- Источник
- мир
- их
- Там.
- они
- think
- этой
- В этом году
- те
- угроза
- угрозы
- по всему
- в
- сегодня
- вместе
- том
- завтра
- Инструментарий
- инструменты
- торнадо
- трогать
- к
- трансфер
- два
- типично
- зонтик
- под
- Объединенный
- США
- us
- правительство США
- Ve
- вице
- вице-президент
- добровольный
- хотеть
- Вода
- неделя
- Что
- , которые
- в то время как
- зачем
- будете
- Мир
- Наихудший
- год
- лет
- Ты
- зефирнет