'شیلڈز تیار' اہم انفراسٹرکچر اقدام ناگزیر سائبر حملوں سے خطاب کرتا ہے

'شیلڈز تیار' اہم انفراسٹرکچر اقدام ناگزیر سائبر حملوں سے خطاب کرتا ہے

ٹائم سٹیمپ: 10 نومبر 2023 1:23 PM
'Shields Ready' Critical Infrastructure Initiative Addresses Inevitable Cyberattacks PlatoBlockchain Data Intelligence. Vertical Search. Ai.

امریکی حکومت نے آفات، جسمانی حملوں اور سائبر حملوں کے لیے اہم انفراسٹرکچر آپریٹرز کو تیار کرنے کے لیے نسخوں کا ایک سلسلہ جاری کیا ہے، جس میں مستقبل میں رکاوٹوں سے بحالی کی صلاحیت پر زور دیا گیا ہے۔

"شیلڈز ریڈی" کے نام سے موسوم اس اقدام کا مقصد بنیادی ڈھانچے کے 16 اہم شعبوں کو راضی کرنا ہے کہ وہ اپنے نظام اور خدمات کو کسی بھی رکاوٹ کے خلاف سخت بنانے میں سرمایہ کاری کریں، خواہ کوئی ذریعہ ہو۔ سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اور فیڈرل ایمرجنسی مینجمنٹ ایجنسی (FEMA) دونوں کی سربراہی میں کی جانے والی یہ کوشش، یہ فرض کرتی ہے کہ حملے اور آفات رونما ہوں گی اور بنیادی ڈھانچے کے اہم آپریٹرز سے خدمات کو جاری رکھنے کے لیے تیار رہنے کا مطالبہ کرتی ہے۔

CISA کے ڈائریکٹر جین ایسٹرلی نے کہا کہ بنیادی ڈھانچے کے 16 اہم شعبوں کا ایک دوسرے سے جڑا ہونا، اور سپلائی چین جس پر وہ انحصار کرتے ہیں، کا مطلب ہے کہ تیاری اہم ہے۔

"ہماری قوم کے اہم بنیادی ڈھانچے کے اداروں - اسکولوں سے لے کر اسپتالوں تک پانی کی سہولیات تک - کے پاس رکاوٹوں کا جواب دینے اور اس سے بازیابی کے لیے اوزار اور وسائل ہونے چاہئیں"۔ ایک بیان میں کہا. "واقعات کی تیاری کے لیے آج ہی کے اقدامات کرنے سے، اہم انفراسٹرکچر، کمیونٹیز اور افراد کل اور مستقبل کے خطرات کے اثرات سے نکلنے کے لیے بہتر طور پر تیار ہو سکتے ہیں۔"

اہم انفراسٹرکچر کو خطرات حالیہ برسوں میں بڑھ گئے ہیں، شدید آفات کی وجہ سے پیدا ہونے والی رکاوٹیں - جیسے کیلیفورنیا میں جنگل کی آگ اور کورونا وائرس وبائی بیماری - اور سائبر حملے۔ پچھلے پانچ سالوں میں، مثال کے طور پر، فارماسیوٹیکل فرم مرک ایک بڑی بندش کا سامنا کرنا پڑا 2017 میں NotPetya سائبر اٹیک کی وجہ سے، جبکہ اس سال حریف Pfizer طوفان کی ہڑتال کا سامنا کرنا پڑا ایک بڑے گودام پر جس کی وجہ سے بعض ادویات کی سپلائی میں خلل پڑا۔ اور مشہور طور پر، مئی 2021 میں، امریکی پائپ لائن آپریٹر کالونیل پائپ لائن ایک ransomware حملے کا سامنا کرنا پڑانے اپنی خدمات کو ایک ہفتے کے لیے بند کر دیا، جس کی وجہ سے پورے جنوب مشرقی امریکہ میں گیس کی قلت پیدا ہو گئی۔

ایک پچھلی مہم، جسے "شیلڈز اپ" کے نام سے جانا جاتا ہے، بنیادی ڈھانچے کی اہم تنظیموں کو مخصوص خطرے کی انٹیلی جنس کے ردعمل میں دفاعی اقدامات کرنے پر راضی کرنے پر مرکوز تھی۔ سائبرسیکیوریٹی کنسلٹنسی، کریٹیکل انسائٹ کے شریک بانی اور CISO، مائیکل ہیملٹن کا کہنا ہے کہ شیلڈز ریڈی بورڈ میں بدترین حالات کی تیاری کے بارے میں ہے۔

صنعتی کنٹرول اور بنیادی ڈھانچے کے اہم فراہم کنندگان کو ایف بی آئی اور سی آئی ایس اے کی باقاعدہ انتباہات کی طرف اشارہ کرتے ہوئے، وہ کہتے ہیں، "یہاں پوشیدہ پیغام یہ ہے، یہ آ رہا ہے، اور پوری دنیا کو دیکھتے ہوئے، اس کی پیش گوئی کرنا اتنا مشکل نہیں ہے۔" "دو اور دو کو ایک ساتھ رکھنا اور کہنا مشکل نہیں ہے، آپ جانتے ہیں کہ انفراسٹرکچر میں خلل پڑنے کے لیے خطرے کی سطح بڑھ گئی ہے۔"

شیلڈز کے لیے پالیسی اقدامات تیار ہیں۔

اس اقدام کے لیے ایک مسئلہ یہ ہے کہ موجودہ سفارشات میں سے بہت ساری رضاکارانہ اور معلوماتی ہیں۔ نومبر کے بعد سے "کریٹیکل انفراسٹرکچر سیکیورٹی اور لچک کا مہینہ"، CISA نامزد کیا گیا ہے۔ ایک ٹول کٹ شائع کیا اہم بنیادی ڈھانچہ فراہم کرنے والوں کے لیے، ایک 15 صفحات پر مشتمل دستاویز جس میں مخصوص خطرات، حفاظتی چیلنجز، اور خود تشخیصی مشقیں شامل ہیں۔ ایجنسی نے بھی شائع انفراسٹرکچر ریزیلیئنس پلاننگ فریم ورک (IRPF) اور اس بارے میں رہنمائی کرتا ہے کہ کس طرح لچکدار سپلائی چین تیار کیا جائے اور سائبر حملے کا جواب کیسے دیا جائے۔

ایک آپریشنل ٹکنالوجی (OT) سیکیورٹی فرم، آرمیس میں حکومتی امور کے نائب صدر، ٹام گارنٹے کہتے ہیں کہ پھر بھی، اس کوشش میں ریگولیٹری دانتوں کا فقدان ہے۔

وہ کہتے ہیں، "جس چیز کے بارے میں واقعتاً ظاہر ہوتا ہے وہ حالات سے متعلق آگاہی کے ساتھ شروع کرنے کے معاملے میں لچک پیدا کرنا ہے، سرکاری اور نجی شعبے کے اداروں کے درمیان معلومات کے اشتراک کی اہمیت کے بارے میں بات کرنا،" وہ کہتے ہیں۔ "وہ کہتے ہیں کہ ایک ٹول کٹ ہے، اور ایسا لگتا ہے کہ ٹول کٹ زیادہ تر رہنما خطوط پر مشتمل ہے - آپ جانتے ہیں، پی ڈی ایف دستاویزات۔ تو مختصر جواب یہ ہے کہ میں نہیں جانتا کہ شیلڈز ریڈی مہم سے کیا نکلے گا۔

اس کے باوجود بنیادی ڈھانچے کے تمام 16 اہم شعبوں کے لیے شیلڈز ریڈی کی چھتری کے نیچے عمومی رہنما خطوط کے ساتھ آنا ممکنہ طور پر ناممکن ہے، اس لیے یہ حیرت کی بات نہیں ہے کہ ابتدائی کوشش میں تفصیلات کا فقدان ہے، OT کے لیے سائبر سیکیورٹی فراہم کرنے والے Nozomi Networks میں OT سائبر سیکیورٹی اسٹریٹجسٹ ڈینیئل جابلانسکی کا کہنا ہے۔ نیٹ ورکس ہر ایک اہم انفراسٹرکچر سیکٹر میں a سیکٹر رسک مینجمنٹ ایجنسی — عام طور پر محکمہ ہوم لینڈ سیکیورٹی، لیکن کچھ معاملات میں محکمہ توانائی، دفاع، صحت اور انسانی خدمات، یا نقل و حمل نامزد کردہ SRMA ہے — جو سیکٹر کے لیے مخصوص ہدایات اور تقاضے بنائے گا۔

"میرے خیال میں حکومت آج زیادہ آڈٹ کے موڈ میں ہے،" وہ کہتی ہیں۔ "یہ یاد رکھنا ضروری ہے کہ اہم بنیادی ڈھانچہ یک سنگی نہیں ہے، کوئی ایک سائز کے مطابق تمام حفاظتی منصوبہ، پروگرام، یا کنٹرول کا سیٹ نہیں ہے جس سے تمام 16 شعبوں کو یکساں فائدہ پہنچے۔"

اہم بنیادی ڈھانچے کی حفاظت کی حوصلہ افزائی: گاجر یا چھڑی؟

وہ کوششیں، زیادہ تر حصے کے لیے، صنعت کے ایگزیکٹوز کو بورڈ میں شامل کرنے کی طرف ہلکی پھلکی نظر آتی ہیں۔ کریٹیکل انسائٹ کے ہیملٹن کا کہنا ہے کہ چونکہ سیکورٹی لاگت کا ایک مرکز بنی ہوئی ہے — کاروبار کرنے کا ٹیکس — کمپنیاں فطری طور پر ان اخراجات کو کم سے کم کرنا چاہتی ہیں، یہی وجہ ہے کہ بہت سی سفارشات کو نافذ کرنے کے لیے ممکنہ طور پر تعزیری کارروائی ضروری ہو گی۔

کسی آفت یا سائبر حملے کے دوران ان کی کمپنی کی کارکردگی کے لیے ذمہ دار ایگزیکٹوز کو روکنا — جیسے سولر ونڈز کے CISO کے خلاف الزامات - وہ کہتے ہیں کہ انڈسٹری کے لیے پہلے ہی ایک بے ہودہ بیداری رہی ہے۔

ہیملٹن کا کہنا ہے کہ "سینیٹرز، جرنیلوں اور گورنروں کو بریفنگ دینے کے بعد، میں نے محسوس کیا ہے کہ آپ خوفناک روسیوں، سپلائی چینز، بفر اوور فلو، اور ایس کیو ایل انجیکشن کے بارے میں بات کر سکتے ہیں جو آپ چاہتے ہیں، اور آپ کو صرف آنکھ لگنے والی ہے۔" "لیکن جیسے ہی آپ 'ایگزیکٹیو غفلت' کہتے ہیں، آپ کے سامعین ہوتے ہیں۔ حکومت بالکل یہی کر رہی ہے - وہ ایگزیکٹو قیادت کو غافل قرار دے رہے ہیں اور یہ سب کی توجہ حاصل کر رہا ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا