Через кібератаки з високим ризиком і подальше висвітлення в пресі федеральний уряд переходить до нових вимог до кібербезпеки критичної інфраструктури.
Липень Пам'ятка Управління управління та бюджету (OMB). (PDF) закликав агенції федерального уряду встановити конкретні «стандарти ефективності» кібербезпеки для відповідних галузей — і, що ще важливіше, передбачити бюджет для «перегляду та оцінки» федеральними агенціями планів кіберзміцнення, підготовлених організаціями, які повинні відповідати ці нові стандарти.
Необхідно: Федеральний огляд та оцінка планів
Цей рівень прямого нагляду розширює підхід, який сьогодні застосовується лише до найважливішої національної інфраструктури — зокрема, електричної мережі (регулюється Міністерством енергетики, Федеральною комісією з надійності енергетики та North Amerian Reliability Corp.), а також нафти та газу. трубопроводи (Департамент внутрішньої безпеки та Адміністрація транспортної безпеки) — у всьому спектрі галузей промисловості США, на які покладаються люди, включаючи роздрібну торгівлю, фармацевтичну, хімічну, транспортну та дистрибуційну, продукти харчування та напої та багато інших.
Однією з галузей, яка, ймовірно, сильно відчує цю регулятивну діяльність і в результаті відчує значні зміни, є водний сектор. Підприємства водопостачання, дуже вразливі до кібератак, терміново потребують оновлених — і посилених — стандартів безпеки. Насправді адміністрація Байдена нещодавно натякнула, що Агентство з охорони навколишнього середовища (EPA) має намір випустити нове правило, яке включатиме кібербезпеку в перевірку санітарії національних водних об’єктів — далі підтримка вищих стандартів, коли йдеться про кібербезпеку.
Ставки високі: типова муніципальна система обробки води фільтрує 16 мільйонів галонів води щодня, і один успішний хакер може забруднити все водопостачання громади. Це не гіпотетичний страх — хакерській групі нещодавно вдалося проникнути в система очищення води в Олдсмарі, штат Флорида. Змінивши кількість лугу у воді, вони поставили під загрозу ціле місто. А нещодавно банда програм-вимагачів Clop націлилася на Південний Стаффордшир водопостачання у Великобританії. Хоча ці атаки не завжди успішні, серйозність ризиків була цілком зрозуміла.
Незважаючи на попередні спроби покращити стандарти безпеки у водному секторі, він залишається вразливим. Навіть Закон про водну інфраструктуру Америки 2018 року (AWIA), яка заявила, що підприємства водопостачання повинні розробити плани реагування на надзвичайні ситуації, спрямовані на усунення загроз кібербезпеці як частину більш широкі зусилля щодо покращення загальної інфраструктури та якості, суттєво не змінив стан кібербезпеки в галузі. Сектор охоплює 50,000 XNUMX окремих комунальних підприємств у Сполучених Штатах, більшість із яких невеликі та управляються муніципалітетами; ця фрагментація в поєднанні із загальним небажанням операторів відмовитися від існуючих практик дозволила поштовху до змін згаснути.
Але прецедент говорить нам, що федеральні норми можуть змінити ситуацію, якщо їх прийняти правильно. Ми вже бачимо прогрес в іншому вразливому секторі критичної інфраструктури: нафті та газі. Слідом за гучним Злом колоніального трубопроводу у 2021 році Управління транспортної безпеки (TSA) Департаменту внутрішньої безпеки швидко випустило двох Директиви безпеки, з оновлення у 2022 році подвоївши свої зусилля щодо забезпечення кращого захисту енергетичної інфраструктури по всій країні. Ці директиви наголошували на управлінні обліковими даними та контролі доступу, двох речах, які в першу чергу допомогли б заблокувати атаку програм-вимагачів.
Незважаючи на початкову відмову з боку власників і операторів трубопроводів, ці перші у своєму роді вимоги TSA вже ведуть увесь сектор до більш захищеного середовища. Зараз оператори схиляються до заходів безпеки, зосереджених на проактивності та запобіганні атакам.
Заклик до запобігання нападам веде до більшого захисту
Ключова відмінність тут полягає в тому, що Директиви TSA вимагають планів впровадження для кібер захист, а не лише для виявлення інцидентів і реагування на них. Колись оператори були зобов’язані захист
самі, а не просто реагували на події постфактум — і коли федеральний уряд переглядав свої плани кіберзахисту — нафтогазовий сектор почав серйозно рухатися.
І тепер, завдяки вказівкам Управління інформаційних технологій для відомств, такий же прямий нагляд за кіберзахистом буде поширений і в інших секторах, включаючи водопостачання. Іншими словами, рух у сфері нафти та газу є натяком на те, що має відбутися для іншої критичної інфраструктури.
Злом Oldsmar 2021 року показав світові, наскільки легкою — і якою руйнівною — може бути атака на водяний завод. Незалежно від історичних галузевих норм, a очевидна потреба в покращенні кібербезпеки виникло, і, схоже, уряд готовий рухатися вперед більш агресивно, ніж будь-коли. Його широкий поштовх до кращої безпеки для критичної інфраструктури готовий стати каталізатором, який відчайдушно потрібен багатьом секторам, таким як водопостачання.
Власники та оператори заводів більше не можуть ігнорувати ризики; жорсткіше регулювання це «коли», а не «якщо». Настав час для них шукати кращої, сучаснішої кібербезпеки.
