Nổi lên bởi các cuộc tấn công mạng có rủi ro cao và sau đó là sự đưa tin của báo chí chính thống, chính phủ liên bang đang hướng tới các yêu cầu mới đối với an ninh mạng cho cơ sở hạ tầng quan trọng.
Tháng 7 Bản ghi nhớ của Văn phòng Quản lý và Ngân sách (OMB) (PDF) kêu gọi các cơ quan trên toàn chính phủ liên bang thiết lập “tiêu chuẩn hiệu suất” an ninh mạng cụ thể cho các ngành tương ứng của họ - và thậm chí quan trọng hơn là cấp ngân sách cho cơ quan liên bang “xem xét và đánh giá” các kế hoạch tăng cường an ninh mạng do các tổ chức chuẩn bị để đáp ứng những tiêu chuẩn mới đó.
Cần thiết: Đánh giá và Đánh giá Kế hoạch của Liên bang
Mức độ giám sát trực tiếp này mở rộng cách tiếp cận mà ngày nay chỉ được áp dụng cho cơ sở hạ tầng quan trọng nhất của quốc gia - đáng chú ý là lưới điện (do Bộ Năng lượng, Ủy ban Độ tin cậy Năng lượng Liên bang và Tập đoàn Độ tin cậy Bắc Mỹ quản lý) và dầu khí đường ống (Bộ An ninh Nội địa và Cục Quản lý An ninh Giao thông vận tải) — trên toàn bộ các ngành công nghiệp của Hoa Kỳ mà mọi người phụ thuộc vào, bao gồm bán lẻ, dược phẩm, hóa chất, vận tải và phân phối, thực phẩm và đồ uống, cùng nhiều ngành khác.
Một ngành có thể cảm nhận được hoạt động quản lý này một cách mạnh mẽ và dẫn đến những thay đổi đáng kể là ngành nước. Rất dễ bị tấn công mạng, các công ty cấp nước đang rất cần được làm mới — và thực thi — các tiêu chuẩn bảo mật. Trên thực tế, chính quyền Biden gần đây đã ám chỉ rằng Cơ quan Bảo vệ Môi trường (EPA) chuẩn bị ban hành một quy tắc mới sẽ bao gồm an ninh mạng trong việc đánh giá vệ sinh các cơ sở nước của quốc gia - hơn nữa hỗ trợ các tiêu chuẩn cao hơn khi nói đến an ninh mạng.
Rủi ro rất cao: Một hệ thống xử lý nước điển hình của thành phố lọc 16 triệu gallon nước mỗi ngày và một hacker thành công có thể làm hỏng toàn bộ nguồn cung cấp nước của cộng đồng. Đây không phải là nỗi sợ hãi giả định - một nhóm hack gần đây đã xâm nhập được vào một Hệ thống xử lý nước tại Oldsmar, Florida Bằng cách điều chỉnh lượng dung dịch kiềm trong nước, họ đã khiến cả thị trấn gặp nguy hiểm. Và gần đây, băng nhóm ransomware Clop đã nhắm mục tiêu Nam Staffordshire công ty cấp nước ở Vương quốc Anh. Mặc dù các cuộc tấn công này không phải lúc nào cũng thành công, nhưng mức độ nghiêm trọng của các rủi ro đã được làm rõ rất rõ ràng.
Bất chấp những nỗ lực trước đây nhằm cải thiện các tiêu chuẩn an ninh cho ngành nước, ngành này vẫn dễ bị tổn thương. Thậm chí Đạo luật cơ sở hạ tầng nước của Mỹ năm 2018 (AWIA), trong đó tuyên bố rằng các công ty cấp nước phải xây dựng các kế hoạch ứng phó khẩn cấp nhằm giải quyết các mối đe dọa an ninh mạng như một phần của kế hoạch ứng phó khẩn cấp. nỗ lực rộng lớn hơn để cải thiện cơ sở hạ tầng tổng thể và chất lượng, đã không thay đổi đáng kể tình hình an ninh mạng cho ngành. Lĩnh vực này bao gồm 50,000 tiện ích riêng biệt ở Hoa Kỳ, hầu hết là nhỏ và được quản lý bởi các thành phố; sự phân mảnh này, cùng với việc các nhà khai thác không sẵn sàng từ bỏ các hoạt động hiện có, đã cho phép động lực thay đổi giảm dần.
Nhưng tiền lệ cho chúng ta biết rằng, khi được thực hiện đúng cách, các quy định của liên bang có thể tạo ra sự khác biệt. Chúng ta đã thấy sự tiến bộ trong một lĩnh vực cơ sở hạ tầng quan trọng dễ bị tổn thương khác: dầu khí. Theo đuổi danh tiếng cao Hack đường ống thuộc địa vào năm 2021, Cục An ninh Vận tải (TSA) của Bộ An ninh Nội địa đã nhanh chóng đưa ra hai Chỉ thị bảo mật, với một cập nhật vào năm 2022, tăng gấp đôi nỗ lực của mình để đảm bảo bảo vệ tốt hơn cho cơ sở hạ tầng năng lượng trên toàn quốc. Các chỉ thị này nhấn mạnh đến việc quản lý thông tin xác thực và kiểm soát truy cập, hai điều có thể giúp ngăn chặn cuộc tấn công ransomware ngay từ đầu.
Bất chấp phản hồi ban đầu từ các chủ sở hữu và nhà điều hành đường ống, các yêu cầu TSA đầu tiên thuộc loại này đã đưa toàn bộ ngành hướng tới một môi trường được bảo vệ nhiều hơn. Các nhà khai thác hiện đang dựa vào các biện pháp bảo mật tập trung vào tính chủ động và ngăn chặn tấn công.
Kêu gọi phòng chống tấn công dẫn đến bảo vệ nhiều hơn
Sự khác biệt chính ở đây là Chỉ thị TSA yêu cầu kế hoạch thực hiện cho mạng bảo vệ, không chỉ để phát hiện và ứng phó sự cố. Một khi các nhà khai thác đã được yêu cầu để bảo vệ
chính họ, không chỉ phản ứng với các sự kiện xảy ra sau sự kiện — và một khi chính phủ liên bang đang xem xét các kế hoạch bảo vệ mạng của họ — lĩnh vực dầu khí bắt đầu hành động một cách nghiêm túc.
Và giờ đây, với sự hướng dẫn của OMB dành cho các cơ quan, sự giám sát trực tiếp tương tự đối với việc bảo vệ mạng cũng sẽ được áp dụng cho các lĩnh vực khác, bao gồm cả nước. Nói cách khác, sự chuyển động trong lĩnh vực dầu khí là một dấu hiệu cho thấy điều gì sẽ xảy ra với các cơ sở hạ tầng quan trọng khác.
Vụ hack Oldsmar năm 2021 đã cho thế giới thấy một cuộc tấn công vào nhà máy nước có thể dễ dàng — và tàn khốc như thế nào —. Bất kể các tiêu chuẩn ngành lịch sử, một nhu cầu rõ ràng về an ninh mạng tốt hơn đã xuất hiện, và có vẻ như chính phủ đã chuẩn bị để tiến lên phía trước một cách mạnh mẽ hơn bao giờ hết. Sự thúc đẩy rộng rãi của nó hướng tới an ninh tốt hơn cho cơ sở hạ tầng quan trọng sẵn sàng trở thành chất xúc tác mà nhiều lĩnh vực, chẳng hạn như nước, đang rất cần.
Chủ sở hữu và nhà điều hành nhà máy không còn có thể bỏ qua các rủi ro; quy định nặng hơn là “khi nào”, không phải là “nếu”. Bây giờ là lúc để họ theo đuổi an ninh mạng tốt hơn, hiện đại hơn.
