ภาคส่วนน้ำจะได้รับประโยชน์จากการเรียกร้องให้มีการสร้างโครงสร้างพื้นฐานที่สำคัญทางไซเบอร์

จากการโจมตีทางไซเบอร์ที่มีความเสี่ยงสูงและการรายงานข่าวกระแสหลักที่ตามมา รัฐบาลกลางกำลังก้าวไปสู่ข้อกำหนดใหม่สำหรับการรักษาความปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานที่สำคัญ

กรกฎาคม บันทึกสำนักงานบริหารและงบประมาณ (สพม.) (PDF) เรียกร้องให้หน่วยงานต่างๆ ทั่วรัฐบาลกลางกำหนด “มาตรฐานประสิทธิภาพ” ด้านความปลอดภัยทางไซเบอร์เฉพาะสำหรับอุตสาหกรรมของตน — และที่สำคัญยิ่งกว่านั้น ให้จัดงบประมาณสำหรับหน่วยงานของรัฐบาลกลาง “ทบทวนและประเมิน” แผนการเสริมความแข็งแกร่งทางไซเบอร์ที่จัดทำโดยองค์กรต่างๆ ที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด มาตรฐานใหม่เหล่านั้น

จำเป็น: การทบทวนและการประเมินแผนของรัฐบาลกลาง

การกำกับดูแลโดยตรงระดับนี้ขยายแนวทางที่ใช้ในปัจจุบันเฉพาะกับโครงสร้างพื้นฐานระดับชาติที่สำคัญที่สุดเท่านั้น โดยเฉพาะโครงข่ายไฟฟ้า (ควบคุมโดย Department of Energy, Federal Energy Reliability Commission และ North Amerian Reliability Corp.) และน้ำมันและก๊าซ ท่อส่ง (Department of Homeland Security and the Transportation Security Administration) — ครอบคลุมอุตสาหกรรมต่างๆ ของสหรัฐฯ ที่ผู้คนพึ่งพา รวมทั้งการค้าปลีก ยา เคมีภัณฑ์ การขนส่งและการกระจายสินค้า อาหารและเครื่องดื่ม และอื่นๆ อีกมากมาย

อุตสาหกรรมหนึ่งที่น่าจะรู้สึกถึงกิจกรรมด้านกฎระเบียบนี้อย่างจริงจัง และเห็นการเปลี่ยนแปลงที่สำคัญตามมาก็คือภาคส่วนน้ำ เสี่ยงต่อการถูกโจมตีทางไซเบอร์อย่างมาก ระบบสาธารณูปโภคด้านน้ำจึงจำเป็นต้องปรับปรุงและบังคับใช้มาตรฐานความปลอดภัยอย่างเร่งด่วน ในความเป็นจริงฝ่ายบริหารของ Biden เพิ่งบอกใบ้ว่าหน่วยงานคุ้มครองสิ่งแวดล้อม (EPA) จะออกกฎใหม่ที่จะรวมการรักษาความปลอดภัยทางไซเบอร์ในการตรวจสอบสุขอนามัยของแหล่งน้ำของประเทศ — เพิ่มเติม รองรับมาตรฐานที่สูงขึ้นในด้านความปลอดภัยทางไซเบอร์.

เดิมพันสูง: ระบบประมวลผลน้ำของเทศบาลทั่วไปกรองน้ำ 16 ล้านแกลลอนในแต่ละวัน และแฮ็กเกอร์ที่ประสบความสำเร็จคนหนึ่งอาจทำให้น้ำประปาทั้งหมดของชุมชนเสียได้ นี่ไม่ใช่ความกลัวตามสมมุติฐาน — เมื่อเร็ว ๆ นี้กลุ่มแฮ็คสามารถแทรกซึมเข้าไปได้ ระบบบำบัดน้ำ ใน Oldsmar, Fla พวกเขาทำให้ทั้งเมืองตกอยู่ในความเสี่ยงด้วยการปรับปริมาณน้ำด่างในน้ำ และเมื่อเร็วๆ นี้ แก๊งค์เรียกค่าไถ่ Clop ได้กำหนดเป้าหมายไปที่ เซาท์สแตฟฟอร์ดเชียร์ สาธารณูปโภคด้านน้ำในสหราชอาณาจักร แม้ว่าการโจมตีเหล่านี้จะไม่ประสบความสำเร็จเสมอไป แต่ความรุนแรงของความเสี่ยงก็ชัดเจนมาก

แม้จะมีความพยายามก่อนหน้านี้ในการปรับปรุงมาตรฐานความปลอดภัยสำหรับภาคส่วนน้ำ แต่ก็ยังคงมีความเสี่ยง สม่ำเสมอ พระราชบัญญัติโครงสร้างพื้นฐานทางน้ำของอเมริกาปี 2018 (AWIA) ซึ่งระบุว่าการประปาต้องพัฒนาแผนรับมือเหตุฉุกเฉินที่จัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ซึ่งเป็นส่วนหนึ่งของ ความพยายามที่กว้างขึ้นในการปรับปรุงโครงสร้างพื้นฐานและคุณภาพโดยรวมไม่ได้เปลี่ยนท่าทางการรักษาความปลอดภัยทางไซเบอร์สำหรับอุตสาหกรรมอย่างมีนัยสำคัญ ภาคส่วนนี้มีสาธารณูปโภคแยกต่างหาก 50,000 แห่งในสหรัฐอเมริกา ซึ่งส่วนใหญ่มีขนาดเล็กและบริหารจัดการโดยเทศบาล การแยกส่วนนี้ ประกอบกับความไม่เต็มใจโดยทั่วไปของผู้ปฏิบัติงานที่จะละทิ้งแนวทางปฏิบัติที่มีอยู่ ทำให้แรงผลักดันในการเปลี่ยนแปลงลดลง

แต่แบบอย่างบอกเราว่าเมื่อทำถูกต้อง กฎระเบียบของรัฐบาลกลางสามารถสร้างความแตกต่างได้ เราเห็นความคืบหน้าในภาคโครงสร้างพื้นฐานที่สำคัญที่เปราะบาง: น้ำมันและก๊าซ ตามรอยเบื้องสูง โคโลเนียลไปป์ไลน์แฮ็ค ในปี 2021 สำนักงานรักษาความปลอดภัยด้านการขนส่ง (TSA) ของกระทรวงความมั่นคงแห่งมาตุภูมิได้เปิดตัวสองฉบับอย่างรวดเร็ว คำสั่งความปลอดภัยด้วย ปรับปรุง ในปี พ.ศ. 2022 จะเพิ่มความพยายามเป็นสองเท่าเพื่อให้มั่นใจว่ามีการป้องกันที่ดีขึ้นสำหรับโครงสร้างพื้นฐานด้านพลังงานทั่วประเทศ คำสั่งเหล่านี้เน้นการจัดการข้อมูลประจำตัวและการควบคุมการเข้าถึง ซึ่งเป็นสองสิ่งที่จะช่วยบล็อกการโจมตีของแรนซัมแวร์ตั้งแต่แรก

แม้ว่าเจ้าของท่อส่งและผู้ดำเนินการจะปฏิเสธในตอนแรก แต่ข้อกำหนด TSA แรกของพวกเขาเหล่านี้ได้นำพาทั้งภาคส่วนไปสู่สภาพแวดล้อมที่ได้รับการปกป้องมากขึ้นแล้ว ขณะนี้ผู้ปฏิบัติงานกำลังพึ่งพามาตรการรักษาความปลอดภัยที่มุ่งเน้นไปที่เชิงรุกและการป้องกันการโจมตี

การเรียกร้องให้มีการป้องกันการโจมตีนำไปสู่การป้องกันที่มากขึ้น

ความแตกต่างที่สำคัญที่นี่คือ คำสั่ง TSA จำเป็นต้องมีแผนการดำเนินการ สำหรับชาวไซเบอร์ การป้องกันไม่ใช่แค่การตรวจจับและตอบสนองเหตุการณ์เท่านั้น เมื่อผู้ประกอบการจำเป็นต้อง ป้องกัน
เอง ไม่ใช่แค่ตอบสนองต่อเหตุการณ์หลังจากข้อเท็จจริง — และเมื่อรัฐบาลกลางกำลังทบทวนแผนป้องกันทางไซเบอร์ — ภาคส่วนน้ำมันและก๊าซก็เริ่มเคลื่อนไหวอย่างจริงจัง

และตอนนี้ ด้วยคำแนะนำของ OMB ต่อหน่วยงานต่าง ๆ การกำกับดูแลโดยตรงแบบเดียวกันสำหรับการป้องกันทางไซเบอร์จะมาถึงภาคส่วนอื่น ๆ รวมทั้งน้ำด้วย กล่าวอีกนัยหนึ่ง การเคลื่อนไหวภายในน้ำมันและก๊าซเป็นการบอกใบ้ถึงสิ่งที่จะเกิดขึ้นสำหรับโครงสร้างพื้นฐานที่สำคัญอื่นๆ

การแฮ็ก Oldsmar ในปี 2021 แสดงให้โลกเห็นว่าการโจมตีพืชน้ำนั้นง่ายเพียงใดและทำลายล้างได้เพียงใด โดยไม่คำนึงถึงบรรทัดฐานของอุตสาหกรรมในอดีต ความต้องการความปลอดภัยทางไซเบอร์ที่ดีขึ้นอย่างชัดเจน ได้เกิดขึ้นและดูเหมือนว่ารัฐบาลจะเตรียมเดินหน้าอย่างแข็งกร้าวยิ่งกว่าเดิม การผลักดันในวงกว้างไปสู่การรักษาความปลอดภัยที่ดีขึ้นสำหรับโครงสร้างพื้นฐานที่สำคัญนั้นพร้อมที่จะเป็นตัวเร่งปฏิกิริยาที่หลายภาคส่วนเช่นน้ำต้องการอย่างยิ่ง

เจ้าของโรงงานและผู้ปฏิบัติงานไม่สามารถเพิกเฉยต่อความเสี่ยงได้อีกต่อไป กฎระเบียบที่หนักขึ้น คือ “เมื่อไร” ไม่ใช่ “ถ้า” ถึงเวลาแล้วที่พวกเขาจะต้องติดตามการรักษาความปลอดภัยทางไซเบอร์ที่ดีและทันสมัยยิ่งขึ้น