在高风险网络攻击和随后的主流媒体报道的推动下,联邦政府正在朝着关键基础设施网络安全的新要求迈进。
一个七月 管理和预算办公室 (OMB) 备忘录 (PDF) 呼吁联邦政府各机构为其各自行业制定具体的网络安全“绩效标准”——更重要的是,为联邦机构“审查和评估”组织准备的网络强化计划制定预算,以满足要求那些新标准。
需要:计划的联邦审查和评估
这种级别的直接监管扩展了目前仅适用于最关键的国家基础设施的方法——特别是电网(由能源部、联邦能源可靠性委员会和北美可靠性公司监管)以及石油和天然气管道(国土安全部和运输安全管理局)——涉及人们依赖的所有美国行业,包括零售、制药、化工、运输和分销、食品和饮料等。
一个可能强烈感受到这种监管活动并因此看到重大变化的行业是水务行业。 自来水公司极易受到网络攻击,迫切需要更新和强制执行安全标准。 事实上,拜登政府最近暗示环境保护署 (EPA) 将发布一项新规则,将网络安全纳入国家供水设施的卫生审查——进一步 在网络安全方面支持更高的标准.
风险很高:一个典型的市政水处理系统每天过滤 16 万加仑的水,一个得逞的黑客可能会污染社区的整个供水系统。 这不是一种假设的恐惧——一个黑客组织最近设法渗透了一个 佛罗里达州 Oldsmar 的水处理系统。 通过修补水中的碱液量,他们将整个城镇置于危险之中。 最近,Clop 勒索软件团伙针对 南斯塔福德郡 英国的自来水公司。 虽然这些攻击并不总是成功,但风险的严重性已经非常清楚。
尽管之前曾尝试提高供水部门的安全标准,但它仍然很脆弱。 甚至 2018 年美国水利基础设施法案 (AWIA),它指出自来水公司必须制定应对网络安全威胁的应急响应计划,作为 更广泛地努力改善整体基础设施和质量,并没有显着改变行业的网络安全态势。 该部门包括美国 50,000 家独立的公用事业公司,其中大部分规模较小,由市政当局管理; 这种分散,加上运营商普遍不愿放弃现有做法,导致变革的动力逐渐减弱。
但先例告诉我们,如果做得好,联邦法规可以发挥作用。 我们已经看到另一个脆弱的关键基础设施领域取得了进展:石油和天然气。 继高调之后 殖民地管道黑客 2021 年,国土安全部运输安全管理局 (TSA) 迅速发布了两个 安全指令,与 更新 2022年,加倍努力,确保更好地保护全国能源基础设施。 这些指令强调凭证管理和访问控制,这两件事本来可以帮助阻止勒索软件攻击。
尽管最初遭到管道所有者和运营商的反对,但这些首创的 TSA 要求已经引领整个行业走向更受保护的环境。 运营商现在倾向于采用以主动性和攻击预防为中心的安全措施。
呼吁预防攻击导致更多保护
这里的主要区别在于 TSA 指令要求执行计划 对于网络 保护,不仅用于事件检测和响应。 一旦操作员被要求 保护
他们自己,而不仅仅是事后对事件做出反应——一旦联邦政府开始审查他们的网络保护计划——石油和天然气行业就开始认真行动。
现在,在 OMB 对机构的指导下,对网络保护的同样直接监督也将适用于其他部门,包括水务部门。 换句话说,石油和天然气内部的动向暗示了其他关键基础设施的发展趋势。
2021 年 Oldsmar 黑客攻击向世界展示了对水厂的攻击是多么容易——以及多么具有破坏性。 无论历史行业规范如何, 明确需要更好的网络安全 已经出现,而且政府似乎准备比以往任何时候都更积极地向前推进。 它广泛推动提高关键基础设施的安全性,有望成为许多行业(例如水务行业)迫切需要的催化剂。
工厂所有者和经营者不能再忽视风险; 更严格的监管 是“何时”,而不是“如果”。 现在是他们追求更好、更现代的网络安全的时候了。
