Под влиянием кибератак с высокой степенью риска и последующего освещения в прессе федеральное правительство переходит к новым требованиям к кибербезопасности критической инфраструктуры.
июль Записка Управления управления и бюджета (OMB) (PDF) призвал агентства федерального правительства установить конкретные «стандарты эффективности» кибербезопасности для своих соответствующих отраслей — и, что еще более важно, выделить бюджет для «обзора и оценки» федеральным агентством планов киберзащиты, подготовленных организациями, которые должны соответствовать эти новые стандарты.
Требуется: Федеральный обзор и оценка планов
Этот уровень прямого надзора расширяет подход, который сегодня применяется только к наиболее важной национальной инфраструктуре, в частности к электросетям (регулируемым Министерством энергетики, Федеральной комиссией по надежности энергетики и Североамериканской корпорацией надежности) и нефтегазовым предприятиям. трубопроводы (Министерство внутренней безопасности и Управление транспортной безопасности) — по всему спектру отраслей промышленности США, от которых зависят люди, включая розничную торговлю, фармацевтику, химическую промышленность, транспорт и распределение, продукты питания и напитки и многие другие.
Одной из отраслей, которая, вероятно, сильно почувствует эту регулирующую деятельность и в результате увидит существенные изменения, является сектор водоснабжения. Водоканалы, сильно уязвимые для кибератак, срочно нуждаются в обновлении и усилении стандартов безопасности. Фактически, администрация Байдена недавно намекнула, что Агентство по охране окружающей среды (EPA) собирается издать новое правило, которое будет включать кибербезопасность в санитарные проверки национальных объектов водоснабжения. поддержка более высоких стандартов, когда речь идет о кибербезопасности.
Ставки высоки: типичная муниципальная система очистки воды фильтрует 16 миллионов галлонов воды каждый день, и один удачливый хакер может испортить все водоснабжение сообщества. Это не гипотетический страх — недавно группе хакеров удалось проникнуть в система очистки воды в Олдсмаре, штат Флорида. Изменяя количество щелочи в воде, они подвергают риску целый город. А недавно банда вымогателей Clop нацелилась на Южный Стаффордшир Водоснабжение в Великобритании. Хотя эти атаки не всегда бывают успешными, серьезность рисков стала совершенно очевидной.
Несмотря на предыдущие попытки улучшить стандарты безопасности водного сектора, он остается уязвимым. Даже Закон Америки о водной инфраструктуре 2018 г. (AWIA), в котором говорится, что водоканалы должны разработать планы реагирования на чрезвычайные ситуации, направленные на устранение угроз кибербезопасности, как часть более широкие усилия по улучшению общей инфраструктуры и качества, существенно не изменили ситуацию с кибербезопасностью в отрасли. Сектор включает 50,000 XNUMX отдельных коммунальных предприятий в Соединенных Штатах, большинство из которых небольшие и находятся в ведении муниципалитетов; эта фрагментация в сочетании с общим нежеланием операторов отказываться от существующей практики позволила иссякнуть импульсу к изменениям.
Но прецедент говорит нам, что, если все сделано правильно, федеральные правила могут иметь значение. Мы уже наблюдаем прогресс в другом уязвимом секторе критической инфраструктуры: в нефти и газе. Вслед за громким Взлом Colonial Pipeline в 2021 году Управление транспортной безопасности (TSA) Министерства внутренней безопасности быстро выпустило два Директивы безопасности, С обновление в 2022 году, удвоив свои усилия по обеспечению лучшей защиты энергетической инфраструктуры по всей стране. В этих директивах особое внимание уделялось управлению учетными данными и контролю доступа — двум вещам, которые в первую очередь помогли бы заблокировать атаку программ-вымогателей.
Несмотря на первоначальное сопротивление со стороны владельцев и операторов трубопроводов, эти первые в своем роде требования TSA уже ведут весь сектор к более защищенной среде. Операторы теперь полагаются на меры безопасности, сосредоточенные на проактивности и предотвращении атак.
Призыв к предотвращению атак ведет к усилению защиты
Ключевое отличие здесь в том, что Директивы TSA требуют планов реализации для кибер защиту, а не только для обнаружения инцидентов и реагирования. Когда-то от операторов требовалось для защиты
сами, а не просто реагировать на события постфактум — и как только федеральное правительство пересматривало свои планы киберзащиты — нефтегазовый сектор начал действовать всерьез.
И теперь, под руководством OMB агентствам, такой же непосредственный надзор за киберзащитой будет распространяться и на другие сектора, включая водный. Другими словами, движение в пределах нефти и газа является намеком на то, что произойдет с другой важной инфраструктурой.
Взлом Oldsmar в 2021 году показал миру, насколько простой и разрушительной может быть атака на водное растение. Независимо от исторических отраслевых норм, явная потребность в улучшении кибербезопасности появился, и кажется, что правительство готово двигаться вперед более агрессивно, чем когда-либо. Его широкое стремление к повышению безопасности критически важной инфраструктуры может стать катализатором, в котором отчаянно нуждаются многие отрасли, такие как водное хозяйство.
Владельцы и операторы заводов больше не могут игнорировать риски; более жесткое регулирование это «когда», а не «если». Настало время для них заняться более качественной и современной кибербезопасностью.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
