Yüksek riskli siber saldırılar ve müteakip ana akım basında çıkan haberlerle ateşlenen federal hükümet, kritik altyapı siber güvenliği için yeni gereksinimlere doğru ilerliyor.
Bir Temmuz Yönetim ve Bütçe Ofisi (OMB) notu (PDF), federal hükümet genelindeki kurumları ilgili sektörleri için belirli siber güvenlik "performans standartları" oluşturmaya ve daha da önemlisi, federal kuruma, karşılaması gereken kuruluşlar tarafından hazırlanan siber güçlendirme planlarının "inceleme ve değerlendirme" bütçesine ayırma çağrısında bulundu. bu yeni standartlar.
Gerekli: Federal İnceleme ve Planların Değerlendirilmesi
Bu düzeydeki doğrudan denetim, bugün yalnızca en kritik ulusal altyapıya uygulanan yaklaşımı genişletir - özellikle elektrik şebekesi (Enerji Bakanlığı, Federal Enerji Güvenilirliği Komisyonu ve North Amerian Reliability Corp. tarafından düzenlenir) ve petrol ve gaz boru hatları (İç Güvenlik Bakanlığı ve Ulaştırma Güvenliği İdaresi) - perakende, ilaç, kimya, ulaşım ve dağıtım, yiyecek ve içecek ve diğerleri dahil olmak üzere insanların güvendiği tüm ABD endüstrilerinde.
Bu düzenleyici faaliyeti güçlü bir şekilde hissedecek ve bunun sonucunda önemli değişiklikler görecek bir sektör, su sektörüdür. Siber saldırılara karşı büyük ölçüde savunmasız olan su hizmetleri, acilen yenilenen ve uygulanan güvenlik standartlarına ihtiyaç duyuyor. Aslında, Biden yönetimi geçtiğimiz günlerde Çevre Koruma Ajansı'nın (EPA), ülkenin su tesislerinin sanitasyon incelemelerine siber güvenliği de dahil edecek yeni bir kural çıkaracağını ima etti - ayrıca siber güvenlik söz konusu olduğunda daha yüksek standartları desteklemek.
Bahisler yüksektir: Tipik bir belediye su işleme sistemi her gün 16 milyon galon suyu filtreler ve başarılı bir bilgisayar korsanı, topluluğun tüm su kaynağını bozabilir. Bu varsayımsal bir korku değil - bir bilgisayar korsanlığı grubu yakın zamanda bir bilgisayar korsanlığına sızmayı başardı. Oldsmar, Florida'da su arıtma sistemi. Sudaki kül suyu miktarıyla oynayarak bütün bir kasabayı riske atıyorlar. Ve son zamanlarda, Clop fidye yazılımı çetesi, Güney Staffordshire İngiltere'de su hizmeti. Bu saldırılar her zaman başarılı olmasa da, risklerin ciddiyeti fazlasıyla açıklığa kavuşturuldu.
Su sektörü için güvenlik standartlarını iyileştirmeye yönelik önceki girişimlere rağmen, su sektörü savunmasız kalmaya devam ediyor. Eşit Amerika'nın 2018 Su Altyapısı Yasası (AWIA), su hizmetlerinin bir parçası olarak siber güvenlik tehditlerini ele alan acil durum müdahale planları geliştirmesi gerektiğini belirtti. genel altyapıyı ve kaliteyi iyileştirmek için daha geniş çaba, sektör için siber güvenlik duruşunu önemli ölçüde değiştirmedi. Sektör, Amerika Birleşik Devletleri'nde çoğu küçük olan ve belediyeler tarafından yönetilen 50,000 ayrı kamu hizmetini kapsamaktadır; Operatörlerin mevcut uygulamalardan vazgeçme konusundaki genel isteksizliğiyle birleşen bu parçalanma, değişimin itici gücünün yavaşlamasına izin verdi.
Ancak emsal bize, doğru yapıldığında federal düzenlemelerin bir fark yaratabileceğini söylüyor. Bir başka savunmasız kritik altyapı sektöründe şimdiden ilerleme görüyoruz: petrol ve gaz. Yüksek profilli takip Colonial Boru Hattı kesmek 2021'de İç Güvenlik Bakanlığı'nın Ulaştırma Güvenliği İdaresi (TSA) hızlı bir şekilde iki tane serbest bıraktı. Güvenlik YönergeleriBir ile güncelleştirme 2022'de ülke çapında enerji altyapısı için daha iyi koruma sağlama çabalarını ikiye katlayacak. Bu direktifler, ilk etapta fidye yazılımı saldırısını engellemeye yardımcı olabilecek iki şey olan kimlik bilgisi yönetimi ve erişim kontrolünü vurguladı.
Boru hattı sahipleri ve operatörlerinden gelen ilk itirazlara rağmen, türünün ilk örneği olan bu TSA gereklilikleri şimdiden tüm sektörü daha korumalı bir ortama doğru yönlendiriyor. Operatörler artık proaktivite ve saldırı önleme merkezli güvenlik önlemlerine yöneliyor.
Saldırı Önleme Çağrısı Daha Fazla Koruma Sağlar
Buradaki temel fark, TSA direktifleri uygulama planları gerektirir siber için koruma, yalnızca olay tespiti ve müdahalesi için değil. Operatörlerin bir kez korumak
Olayların ardından olaylara yanıt vermekle kalmayıp - ve federal hükümet siber koruma planlarını gözden geçirdiğinde - petrol ve gaz sektörü ciddi bir şekilde hareket etmeye başladı.
Ve şimdi, OMB'nin ajanslara verdiği rehberlikle, aynı doğrudan siber koruma denetimi, su da dahil olmak üzere diğer sektörlere de gelecek. Başka bir deyişle, petrol ve gazdaki hareket, diğer kritik altyapılar için neyin geleceğine dair bir ipucu.
2021 Oldsmar hack'i, dünyaya bir su tesisine yapılan saldırının ne kadar kolay ve ne kadar yıkıcı olabileceğini gösterdi. Tarihsel endüstri normlarından bağımsız olarak, bir daha iyi siber güvenlik için açık ihtiyaç ortaya çıktı ve görünen o ki hükümet her zamankinden daha agresif bir şekilde ilerlemeye hazır. Kritik altyapı için daha iyi güvenliğe yönelik geniş çabası, su gibi birçok sektörün umutsuzca ihtiyaç duyduğu katalizör olmaya hazırlanıyor.
Tesis sahipleri ve işletmecileri artık riskleri göz ardı edemez; daha ağır düzenleme bir "ne zaman"dır, "eğer" değil. Şimdi onlar için daha iyi, daha modern siber güvenlik peşinde koşma zamanı.
