Ініціатива критичної інфраструктури «Щити готові» спрямована на неминучі кібератаки

Уряд США випустив низку рецептів щодо підготовки операторів критичної інфраструктури до катастроф, фізичних атак і кібератак, з акцентом на можливості відновлення після збоїв у майбутньому.

Ініціатива під назвою «Shields Ready» спрямована на те, щоб переконати 16 визначених секторів критичної інфраструктури інвестувати в захист своїх систем і послуг від будь-яких збоїв, незалежно від джерела. Зусилля, які очолюють Агентство з кібербезпеки та безпеки інфраструктури (CISA) і Федеральне агентство з управління надзвичайними ситуаціями (FEMA), припускають, що атаки та стихійні лиха відбудуться, і закликають операторів критичної інфраструктури підготуватися до забезпечення роботи послуг.

Взаємозв’язок 16 критично важливих секторів інфраструктури та ланцюжка поставок, на який вони спираються, означає, що готовність має вирішальне значення, сказала Джен Істерлі, директор CISA.

«Об’єкти критично важливої ​​інфраструктури нашої країни — від шкіл до лікарень і водопостачання — повинні мати інструменти та ресурси, щоб реагувати на збої та відновлюватися після них», — сказала вона. йдеться в заяві. «Вживаючи заходів для підготовки до інцидентів сьогодні, критично важлива інфраструктура, громади та окремі люди можуть бути краще підготовлені до відновлення після впливу загроз завтрашнього дня та в майбутньому».

Останніми роками небезпека для критичної інфраструктури зросла через збої, спричинені сильними лихами, такими як лісові пожежі в Каліфорнії та пандемія коронавірусу, і кібератаками. За останні п'ять років, наприклад, фармацевтична фірма Merck зазнав серйозного збою через кібератаку NotPetya у 2017 році, тоді як цього року конкурент Pfizer постраждав від торнадо на великому складі, що призвело до збоїв у постачанні окремих препаратів. І, як відомо, у травні 2021 року американський оператор трубопроводів Colonial Pipeline зазнав атаки програм-вимагачів, припинивши свої послуги на тиждень, що призвело до дефіциту газу на південному сході США.

Попередня кампанія, відома як «Shields Up», була зосереджена на тому, щоб переконати організації критичної інфраструктури вжити захисних дій у відповідь на конкретні дані про загрози. Майкл Гамільтон, співзасновник і керівник консультаційної компанії Critical Insight з питань кібербезпеки, говорить про те, що Shields Ready — це підготовка до найгіршого в усіх напрямках.

«Приховане повідомлення тут полягає в тому, що воно наближається, і, дивлячись по всьому світу, це не так вже й важко передбачити», — каже він, вказуючи на регулярні попередження ФБР і CISA для промислового контролю та постачальників критичної інфраструктури. «Неважко скласти два і два разом і сказати, що ви знаєте, що рівень загрози підвищився через порушення інфраструктури».

Готові політичні ініціативи для Shields

Проблемою для ініціативи є те, що багато з поточних рекомендацій є добровільними та інформаційними. Починаючи з листопада, CISA проголошено «Місяцем безпеки та стійкості критичної інфраструктури». опублікував інструментарій для постачальників критичної інфраструктури — 15-сторінковий документ, у якому описані конкретні загрози, виклики безпеки та вправи для самооцінки. Агентство також опублікований Структура планування стійкості інфраструктури (IRPF) і посібники щодо того, як створити стійкий ланцюжок поставок і як реагувати на кібератаки.

Тим не менш, зусиллям бракує регуляторних зубів, каже Том Гуаренте, віце-президент із питань уряду в Armis, фірмі безпеки операційних технологій (OT).

«Схоже, що насправді мова йде про підвищення стійкості, починаючи з обізнаності про ситуацію, розповідаючи про важливість обміну інформацією між суб’єктами державного та приватного секторів», — каже він. «Вони кажуть, що є набір інструментів, але здається, що набір інструментів складається здебільшого з інструкцій — знаєте, PDF-документів. Отже, коротка відповідь: я не знаю, що вийде з кампанії Shields Ready».

Проте розробити загальні вказівки під егідою Shields Ready для всіх 16 секторів критичної інфраструктури, ймовірно, неможливо, тому не дивно, що в початкових зусиллях бракує деталей, каже Даніель Ябланскі, стратег з кібербезпеки OT у Nozomi Networks, постачальнику кібербезпеки для OT. мережі. Кожен сектор критичної інфраструктури має a Агентство секторального управління ризиками — як правило, Міністерство внутрішньої безпеки, але в деяких випадках Міністерство енергетики, оборони, охорони здоров’я та соціальних служб або транспорту є призначеним SRMA — це розробить інструкції та вимоги для окремих секторів.

«Я думаю, що уряд сьогодні більше в режимі аудиту», – каже вона. «Важливо пам’ятати, що критична інфраструктура не є монолітною, не існує універсального плану безпеки, програми чи набору засобів контролю, які б приносили однакову користь усім 16 секторам».

Заохочення безпеки критичної інфраструктури: батог чи пряник?

Здебільшого ці зусилля спрямовані на те, щоб залучити керівників галузі. Оскільки безпека продовжує залишатися центром витрат — податком на ведення бізнесу — компанії, природно, хочуть мінімізувати ці витрати, тому, ймовірно, знадобляться каральні заходи, щоб виконати багато рекомендацій, каже Гамільтон з Critical Insight.

Притягнення керівників до відповідальності за ефективність їхньої компанії під час стихійного лиха чи кібератаки, як-от звинувачення проти CISO компанії SolarWinds — це вже стало грубим пробудженням для галузі, каже він.

«Проінформувавши сенаторів, генералів і губернаторів, я виявив, що ви можете говорити про страшних росіян, ланцюжки поставок, переповнення буфера та впровадження SQL скільки завгодно, і ви просто закочуєте очі», — каже Гамільтон. «Але як тільки ви кажете «недбалість керівника», у вас є аудиторія. Це саме те, що робить уряд — вони збираються вважати виконавче керівництво недбалим, і це привертає увагу всіх».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks