Den amerikanska regeringen har utfärdat en serie föreskrifter för att förbereda operatörer av kritisk infrastruktur för katastrofer, fysiska attacker och cyberattacker, med tonvikt på förmågan att återhämta sig från störningar i framtiden.
Initiativet, kallat "Shields Ready", syftar till att övertyga 16 identifierade kritiska infrastruktursektorer att investera i att härda sina system och tjänster mot alla störningar, oavsett källan. Ansträngningen, som leds av både Cybersecurity and Infrastructure Security Agency (CISA) och Federal Emergency Management Agency (FEMA), antar att attacker och katastrofer kommer att hända och uppmanar kritiska infrastrukturoperatörer att förbereda sig för att hålla tjänsterna igång.
Sammankopplingen av de 16 kritiska infrastruktursektorerna, och den försörjningskedja som de förlitar sig på, betyder att beredskapen är avgörande, säger Jen Easterly, chef för CISA.
"Vår nations kritiska infrastrukturenheter - från skolor till sjukhus till vattenanläggningar - måste ha verktygen och resurserna för att svara på och återhämta sig från störningar," hon sade i ett uttalande. "Genom att vidta åtgärder i dag för att förbereda sig för incidenter, kan kritisk infrastruktur, samhällen och individer bli bättre förberedda för att återhämta sig från effekterna av morgondagens hot och in i framtiden."
Farorna för kritisk infrastruktur har ökat de senaste åren, med störningar orsakade av allvarliga katastrofer – som skogsbränderna i Kalifornien och coronavirus-pandemin – och cyberattacker. Under de senaste fem åren, till exempel, läkemedelsföretaget Merck drabbades av ett stort avbrott på grund av cyberattacken NotPetya 2017, medan konkurrenten Pfizer i år drabbades av en tornado på ett större lager som orsakade störningar i tillgången på vissa läkemedel. Och berömt, i maj 2021, den amerikanska pipelineoperatören Colonial Pipeline drabbades av en ransomware-attack, stänga av sina tjänster i en vecka, vilket ledde till gasbrist i hela sydöstra USA.
En tidigare kampanj, känd som "Shields Up", fokuserade på att övertyga kritiska infrastrukturorganisationer att vidta defensiva åtgärder som reaktion på specifik hotintelligens. Shields Ready handlar om att förbereda sig för det värsta över hela linjen, säger Michael Hamilton, medgrundare och CISO för Critical Insight, ett konsultföretag för cybersäkerhet.
"Det dolda budskapet här är att det kommer, och om man tittar runt i världen är det inte så svårt att förutsäga", säger han och pekar på regelbundna FBI- och CISA-varningar till industriell kontroll och leverantörer av kritisk infrastruktur. "Det är inte svårt att sätta ihop två och två och säga att du vet att hotnivån har stigit för störningar i infrastrukturen."
Policyinitiativ för Shields Ready
Ett problem för initiativet är att många av de nuvarande rekommendationerna är frivilliga och informativa. Sedan november har den utsetts till "Critical Infrastructure Security and Resilience Month", CISA publicerade en verktygslåda för leverantörer av kritisk infrastruktur, ett 15-sidigt dokument som täcker specifika hot, säkerhetsutmaningar och självutvärderingsövningar. Byrån också publicerade Infrastructure Resilience Planning Framework (IRPF) och guider om hur man utvecklar en motståndskraftig leveranskedja och hur man svarar på en cyberattack.
Ändå saknar ansträngningen regulatoriska tänder, säger Tom Guarente, vice ordförande för regeringsfrågor på Armis, ett säkerhetsföretag för operationell teknologi (OT).
"Vad det verkligen verkar handla om är att bygga motståndskraft när det gäller att börja med situationsmedvetenhet, och prata om vikten av att dela information mellan offentliga och privata enheter", säger han. "De säger att det finns en verktygslåda, och men verktygslådan verkar mestadels bestå av riktlinjer - du vet, PDF-dokument. Så det korta svaret är, jag vet inte vad som kommer att komma ut av Shields Ready-kampanjen."
Ändå är det sannolikt omöjligt att komma med allmänna riktlinjer under paraplyet Shields Ready för alla 16 kritiska infrastruktursektorer, så det är föga förvånande att den initiala insatsen saknar detaljer, säger Danielle Jablanski, OT cybersäkerhetsstrateg på Nozomi Networks, en leverantör av cybersäkerhet för OT nätverk. Varje kritisk infrastruktursektor har en Sektorns riskhanteringsbyrå - vanligtvis Department of Homeland Security, men i vissa fall är Department of Energy, Defense, Health and Human Services eller Transportation den utsedda SRMA - som kommer att göra sektorspecifika riktlinjer och krav.
"Jag tror att regeringen är mer i ett revisionsläge i dag", säger hon. "Det är viktigt att komma ihåg att kritisk infrastruktur inte är monolitisk, det finns ingen enhetlig säkerhetsplan, program eller uppsättning kontroller som gynnar alla 16 sektorer på samma sätt."
Uppmuntra säkerhet för kritisk infrastruktur: morot eller pinne?
Dessa ansträngningar verkar för det mesta ta en lätt känsla för att få branschchefer ombord. Eftersom säkerhet fortsätter att vara ett kostnadsställe – skatten på att göra affärer – vill företag naturligtvis minimera dessa utgifter, vilket är anledningen till att straffåtgärder sannolikt kommer att behövas för att få många av rekommendationerna implementerade, säger Hamilton från Critical Insight.
Håller chefer ansvariga för deras företags prestationer under en katastrof eller en cyberattack – som t.ex. anklagelserna mot SolarWinds CISO — har redan varit ett oförskämt uppvaknande för branschen, säger han.
"Efter att ha informerat senatorer, generaler och guvernörer har jag funnit att du kan prata om läskiga ryssar, försörjningskedjor, buffertspill och SQL-injektion allt du vill, och du kommer bara att få ögonrullande," säger Hamilton. "Men så fort du säger 'verkställande försumlighet' har du en publik. Det är precis vad regeringen gör - de kommer att hålla det verkställande ledarskapet som oaktsamt och det får allas uppmärksamhet."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- : har
- :är
- :inte
- $UPP
- 16
- 2017
- 2021
- 7
- a
- förmåga
- Om Oss
- tvärs
- Handling
- åtgärder
- adresser
- Affairs
- mot
- byrå
- Syftet
- Alla
- redan
- också
- an
- och
- och infrastruktur
- svara
- vilken som helst
- visas
- visas
- ÄR
- runt
- AS
- antar
- At
- Attacker
- uppmärksamhet
- publik
- revision
- medvetenhet
- BE
- därför att
- varit
- Fördelarna
- Bättre
- mellan
- ombord
- båda
- buffert
- Byggnad
- företag
- men
- by
- kalifornien
- Samtal
- Kampanj
- KAN
- fall
- orsakas
- Centrum
- vissa
- kedja
- kedjor
- utmaningar
- avgifter
- CISO
- Medgrundare
- komma
- kommande
- samhällen
- Företag
- företag
- konkurrent
- konsult
- fortsätter
- kontroll
- kontroller
- övertyga
- corona~~POS=TRUNC
- Coronavirus-pandemi
- Pris
- beläggning
- kritisk
- Kritisk infrastruktur
- Aktuella
- Cyber attack
- cyberattack
- Cybersäkerhet
- faror
- Danielle
- Försvar
- defensiv
- Avdelning
- säkerhetstjänsten
- betecknad
- detaljer
- utveckla
- Direktör
- katastrof
- katastrofer
- Störningar
- störningar
- dokumentera
- dokument
- gör
- donation
- ner
- Läkemedel
- dubbade
- under
- varje
- ansträngning
- ansträngningar
- nödsituation
- vikt
- energi
- enheter
- alla
- exakt
- exempel
- verkställande
- befattningshavare
- anläggningar
- ökänt
- FBI
- Federal
- Firm
- fem
- fokuserade
- För
- hittade
- Ramverk
- från
- framtida
- GAS
- Allmänt
- skaffa sig
- få
- kommer
- borta
- Regeringen
- riktlinjer
- Guider
- Hamilton
- hända
- Hård
- Har
- har
- he
- Hälsa
- här.
- dold
- hålla
- hemland
- Homeland Security
- sjukhus
- Hur ser din drömresa ut
- How To
- html
- HTTPS
- humant
- i
- identifierade
- Inverkan
- genomföras
- vikt
- med Esport
- omöjligt
- in
- ökat
- individer
- industriell
- industrin
- oundviklig
- informationen
- Upplysande
- Infrastruktur
- inledande
- Initiativ
- initiativ
- insikt
- Intelligens
- in
- Invest
- Utfärdad
- IT
- DESS
- jen
- jpg
- bara
- Ha kvar
- Vet
- känd
- Ledarskap
- Led
- Nivå
- ljus
- sannolikt
- du letar
- gjord
- större
- göra
- ledning
- många
- Materia
- Maj..
- betyder
- meddelande
- Michael
- Mode
- Monolitisk
- Månad
- mer
- mest
- för det mesta
- måste
- nation
- nödvändigt för
- nätverk
- Nej
- November
- of
- on
- operativa
- Operatören
- operatörer
- or
- organisationer
- vår
- ut
- pandemi
- del
- Tidigare
- prestanda
- Pfizer
- Läkemedelsindustrin
- fysisk
- rörledning
- Planen
- planering
- plato
- Platon Data Intelligence
- PlatonData
- förutse
- Förbered
- beredd
- förbereda
- VD
- föregående
- privat
- den privata sektorn
- Problem
- Program
- leverantör
- leverantörer
- allmän
- sätta
- Ransomware
- RE
- Reaktionen
- redo
- verkligen
- senaste
- rekommendationer
- Recover
- regelbunden
- regulatorer
- förlita
- ihåg
- Krav
- motståndskraft
- elastisk
- Resurser
- Svara
- Risk
- riskhanterings
- rinnande
- Ryssar
- s
- Säkerhet
- Nämnda
- Samma
- säga
- säger
- Skolor
- sektor
- sektorspecifika
- Sektorer
- säkerhet
- SENATORER
- Serier
- Tjänster
- in
- svår
- delning
- hon
- Kort
- brist
- stänga
- eftersom
- So
- några
- snart
- Källa
- sydöst
- spetsen
- specifik
- Starta
- Stater
- Steg
- Strateg
- sådana
- leverera
- leveranskedjan
- Försörjningskedjor
- System
- Ta
- tar
- Diskussion
- tala
- skatt
- Teknologi
- villkor
- den där
- Smakämnen
- Framtiden
- Initiativet
- källan
- världen
- deras
- Där.
- de
- tror
- detta
- i år
- de
- hot
- hot
- hela
- till
- i dag
- tillsammans
- tom
- i morgon
- toolkit
- verktyg
- tornado
- Rör
- mot
- transport
- två
- typiskt
- paraply
- under
- United
- USA
- us
- USAs regering
- Ve
- vice
- Vice President
- frivillig
- vill
- Vatten
- vecka
- Vad
- som
- medan
- varför
- kommer
- med
- världen
- värsta
- år
- år
- Om er
- zephyrnet
