Уряд США випустив низку рецептів щодо підготовки операторів критичної інфраструктури до катастроф, фізичних атак і кібератак, з акцентом на можливості відновлення після збоїв у майбутньому.
Ініціатива під назвою «Shields Ready» спрямована на те, щоб переконати 16 визначених секторів критичної інфраструктури інвестувати в захист своїх систем і послуг від будь-яких збоїв, незалежно від джерела. Зусилля, які очолюють Агентство з кібербезпеки та безпеки інфраструктури (CISA) і Федеральне агентство з управління надзвичайними ситуаціями (FEMA), припускають, що атаки та стихійні лиха відбудуться, і закликають операторів критичної інфраструктури підготуватися до забезпечення роботи послуг.
Взаємозв’язок 16 критично важливих секторів інфраструктури та ланцюжка поставок, на який вони спираються, означає, що готовність має вирішальне значення, сказала Джен Істерлі, директор CISA.
«Об’єкти критично важливої інфраструктури нашої країни — від шкіл до лікарень і водопостачання — повинні мати інструменти та ресурси, щоб реагувати на збої та відновлюватися після них», — сказала вона. йдеться в заяві. «Вживаючи заходів для підготовки до інцидентів сьогодні, критично важлива інфраструктура, громади та окремі люди можуть бути краще підготовлені до відновлення після впливу загроз завтрашнього дня та в майбутньому».
Останніми роками небезпека для критичної інфраструктури зросла через збої, спричинені сильними лихами, такими як лісові пожежі в Каліфорнії та пандемія коронавірусу, і кібератаками. За останні п'ять років, наприклад, фармацевтична фірма Merck зазнав серйозного збою через кібератаку NotPetya у 2017 році, тоді як цього року конкурент Pfizer постраждав від торнадо на великому складі, що призвело до збоїв у постачанні окремих препаратів. І, як відомо, у травні 2021 року американський оператор трубопроводів Colonial Pipeline зазнав атаки програм-вимагачів, припинивши свої послуги на тиждень, що призвело до дефіциту газу на південному сході США.
Попередня кампанія, відома як «Shields Up», була зосереджена на тому, щоб переконати організації критичної інфраструктури вжити захисних дій у відповідь на конкретні дані про загрози. Майкл Гамільтон, співзасновник і керівник консультаційної компанії Critical Insight з питань кібербезпеки, говорить про те, що Shields Ready — це підготовка до найгіршого в усіх напрямках.
«Приховане повідомлення тут полягає в тому, що воно наближається, і, дивлячись по всьому світу, це не так вже й важко передбачити», — каже він, вказуючи на регулярні попередження ФБР і CISA для промислового контролю та постачальників критичної інфраструктури. «Неважко скласти два і два разом і сказати, що ви знаєте, що рівень загрози підвищився через порушення інфраструктури».
Готові політичні ініціативи для Shields
Проблемою для ініціативи є те, що багато з поточних рекомендацій є добровільними та інформаційними. Починаючи з листопада, CISA проголошено «Місяцем безпеки та стійкості критичної інфраструктури». опублікував інструментарій для постачальників критичної інфраструктури — 15-сторінковий документ, у якому описані конкретні загрози, виклики безпеки та вправи для самооцінки. Агентство також опублікований Структура планування стійкості інфраструктури (IRPF) і посібники щодо того, як створити стійкий ланцюжок поставок і як реагувати на кібератаки.
Тим не менш, зусиллям бракує регуляторних зубів, каже Том Гуаренте, віце-президент із питань уряду в Armis, фірмі безпеки операційних технологій (OT).
«Схоже, що насправді мова йде про підвищення стійкості, починаючи з обізнаності про ситуацію, розповідаючи про важливість обміну інформацією між суб’єктами державного та приватного секторів», — каже він. «Вони кажуть, що є набір інструментів, але здається, що набір інструментів складається здебільшого з інструкцій — знаєте, PDF-документів. Отже, коротка відповідь: я не знаю, що вийде з кампанії Shields Ready».
Проте розробити загальні вказівки під егідою Shields Ready для всіх 16 секторів критичної інфраструктури, ймовірно, неможливо, тому не дивно, що в початкових зусиллях бракує деталей, каже Даніель Ябланскі, стратег з кібербезпеки OT у Nozomi Networks, постачальнику кібербезпеки для OT. мережі. Кожен сектор критичної інфраструктури має a Агентство секторального управління ризиками — як правило, Міністерство внутрішньої безпеки, але в деяких випадках Міністерство енергетики, оборони, охорони здоров’я та соціальних служб або транспорту є призначеним SRMA — це розробить інструкції та вимоги для окремих секторів.
«Я думаю, що уряд сьогодні більше в режимі аудиту», – каже вона. «Важливо пам’ятати, що критична інфраструктура не є монолітною, не існує універсального плану безпеки, програми чи набору засобів контролю, які б приносили однакову користь усім 16 секторам».
Заохочення безпеки критичної інфраструктури: батог чи пряник?
Здебільшого ці зусилля спрямовані на те, щоб залучити керівників галузі. Оскільки безпека продовжує залишатися центром витрат — податком на ведення бізнесу — компанії, природно, хочуть мінімізувати ці витрати, тому, ймовірно, знадобляться каральні заходи, щоб виконати багато рекомендацій, каже Гамільтон з Critical Insight.
Притягнення керівників до відповідальності за ефективність їхньої компанії під час стихійного лиха чи кібератаки, як-от звинувачення проти CISO компанії SolarWinds — це вже стало грубим пробудженням для галузі, каже він.
«Проінформувавши сенаторів, генералів і губернаторів, я виявив, що ви можете говорити про страшних росіян, ланцюжки поставок, переповнення буфера та впровадження SQL скільки завгодно, і ви просто закочуєте очі», — каже Гамільтон. «Але як тільки ви кажете «недбалість керівника», у вас є аудиторія. Це саме те, що робить уряд — вони збираються вважати виконавче керівництво недбалим, і це привертає увагу всіх».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks
- : має
- :є
- : ні
- $UP
- 16
- 2017
- 2021
- 7
- a
- здатність
- МЕНЮ
- через
- дію
- дії
- адреси
- Справи
- проти
- агентство
- Цілі
- ВСІ
- вже
- Також
- an
- та
- та інфраструктури
- відповідь
- будь-який
- з'являтися
- з'являється
- ЕСТЬ
- навколо
- AS
- передбачає
- At
- нападки
- увагу
- аудиторія
- аудит
- обізнаність
- BE
- оскільки
- було
- Переваги
- Краще
- між
- рада
- обидва
- буфера
- Створюємо
- бізнес
- але
- by
- Каліфорнія
- Виклики
- Кампанія
- CAN
- випадків
- викликаний
- Центр
- певний
- ланцюг
- ланцюга
- проблеми
- вантажі
- CISO
- Співзасновник
- Приходити
- майбутній
- спільноти
- Компанії
- компанія
- конкурент
- консультування
- триває
- контроль
- управління
- переконати
- Коронавірус
- Пандемія коронавірусу
- Коштувати
- покриття
- критичний
- Критична інфраструктура
- Поточний
- Кібератака
- кібератаки
- Кібербезпека
- Небезпеки
- Даніель
- оборони
- оборонний
- відділ
- управління внутрішньої безпеки
- призначені
- деталі
- розвивати
- Директор
- катастрофа
- лиха
- Зрив
- збої
- документ
- документація
- справи
- Дон
- вниз
- Наркотики
- охрестили
- під час
- кожен
- зусилля
- зусилля
- аварійний
- акцент
- енергія
- юридичні особи
- всі
- точно
- приклад
- виконавчий
- керівництво
- засоби
- хвацько
- fbi
- Федеральний
- Фірма
- п'ять
- увагу
- для
- знайдений
- Рамки
- від
- майбутнє
- ГАЗ
- Загальне
- отримати
- отримання
- буде
- пішов
- Уряд
- керівні вказівки
- Гід
- Гамільтон
- траплятися
- Жорсткий
- Мати
- має
- he
- здоров'я
- тут
- прихований
- тримати
- Батьківщина
- Національна Безопаность
- лікарні
- Як
- How To
- HTML
- HTTPS
- людина
- i
- ідентифікований
- Impact
- реалізовані
- значення
- важливо
- неможливе
- in
- збільшений
- осіб
- промислові
- промисловість
- неминучий
- інформація
- Інформаційний
- Інфраструктура
- початковий
- Ініціатива
- ініціативи
- розуміння
- Інтелект
- в
- Invest
- Випущений
- IT
- ЙОГО
- джен
- JPG
- просто
- тримати
- Знати
- відомий
- Керівництво
- Led
- рівень
- світло
- Ймовірно
- шукати
- made
- основний
- зробити
- управління
- багато
- Матерія
- Може..
- засоби
- повідомлення
- Майкл
- режим
- Монолітний
- місяць
- більше
- найбільш
- в основному
- повинен
- народ
- необхідно
- мереж
- немає
- Листопад
- of
- on
- оперативний
- оператор
- Оператори
- or
- організації
- наші
- з
- пандемія
- частина
- Минуле
- продуктивність
- Pfizer
- фармацевтична
- фізичний
- трубопровід
- план
- планування
- plato
- Інформація про дані Платона
- PlatoData
- передбачати
- Готувати
- підготовлений
- підготовка
- президент
- попередній
- приватний
- приватний сектор
- Проблема
- програма
- Постачальник
- провайдери
- громадськість
- put
- вимагачів
- RE
- реакція
- готовий
- насправді
- останній
- рекомендації
- Відновлювати
- регулярний
- регуляторні
- покладатися
- запам'ятати
- Вимога
- пружність
- пружний
- ресурси
- Реагувати
- Risk
- управління ризиками
- біг
- Російські
- s
- Безпека
- Зазначений
- то ж
- say
- говорить
- Школи
- сектор
- галузеві
- Сектори
- безпеку
- СЕНАТОРИ
- Серія
- Послуги
- комплект
- важкий
- поділ
- вона
- Короткий
- дефіцит
- закриття
- з
- So
- деякі
- скоро
- Source
- на південний схід
- очолив
- конкретний
- Починаючи
- Штати
- заходи
- Стратег
- такі
- поставка
- ланцюжка поставок
- Ланцюги постачання
- Systems
- Приймати
- взяття
- балаканина
- говорити
- податок
- Технологія
- terms
- Що
- Команда
- Майбутнє
- Ініціатива
- Джерело
- світ
- їх
- Там.
- вони
- думати
- це
- У цьому році
- ті
- загроза
- загрози
- по всьому
- до
- сьогодні
- разом
- Том
- завтра
- Інструментарій
- інструменти
- торнадо
- торкатися
- до
- транспорт
- два
- типово
- парасолька
- при
- United
- Сполучені Штати
- us
- нас уряд
- Ve
- віце
- Віцепрезидент
- добровільно
- хотіти
- вода
- week
- Що
- який
- в той час як
- чому
- волі
- з
- світ
- найгірше
- рік
- років
- Ти
- зефірнет