美国政府发布了一系列措施,帮助关键基础设施运营商做好应对灾难、物理攻击和网络攻击的准备,重点是未来从中断中恢复的能力。
该计划被称为“Shields Ready”,旨在说服 16 个已确定的关键基础设施部门投资强化其系统和服务,以抵御任何干扰,无论其来源如何。这项工作由网络安全和基础设施安全局 (CISA) 以及联邦紧急事务管理署 (FEMA) 牵头,假设将会发生攻击和灾难,并呼吁关键基础设施运营商做好准备以保持服务运行。
CISA 主任 Jen Easterly 表示,16 个关键基础设施部门及其所依赖的供应链相互关联,这意味着做好准备至关重要。
“我们国家的关键基础设施实体——从学校到医院再到供水设施——必须拥有工具和资源来应对中断并从中断中恢复,”她 在一份声明中说:。 “通过今天采取措施为事件做好准备,关键基础设施、社区和个人可以更好地做好准备,从明天和未来的威胁的影响中恢复过来。”
近年来,严重灾难(例如加利福尼亚州的野火和冠状病毒大流行)和网络攻击造成的破坏导致关键基础设施面临的危险有所增加。例如,在过去的五年里,制药公司默克 遭受了严重的故障 由于 2017 年的 NotPetya 网络攻击,而今年的竞争对手辉瑞 (Pfizer) 遭受龙卷风袭击 一个主要仓库导致某些药物的供应中断。众所周知,2021 年 XNUMX 月,美国管道运营商 Colonial Pipeline 遭受勒索软件攻击,关闭服务一周,导致美国东南部地区出现天然气短缺。
之前的一项名为“Shields Up”的活动重点是说服关键基础设施组织针对特定威胁情报采取防御行动。网络安全咨询公司 Critical Insight 的联合创始人兼首席信息安全官迈克尔·汉密尔顿 (Michael Hamilton) 表示,Shields Ready 旨在全面应对最坏的情况。
“这里隐藏的信息是,它即将到来,环顾世界,它并不难预测,”他说,并指出 FBI 和 CISA 定期向工业控制和关键基础设施提供商发出警告。 “将两个和两个放在一起并不难,你知道基础设施中断的威胁级别已经上升。”
盾牌就绪的政策举措
该倡议的一个问题是,当前的许多建议都是自愿的和信息性的。自 11 月起,CISA 被指定为“关键基础设施安全和弹性月” 发布了一个工具包 对于关键基础设施提供商,一份 15 页的文件涵盖特定威胁、安全挑战和自我评估练习。该机构还 出版 基础设施弹性规划框架 (IRPF) 以及有关如何开发弹性供应链以及如何应对网络攻击的指南。
运营技术 (OT) 安全公司 Armis 政府事务副总裁汤姆·瓜伦特 (Tom Guarente) 表示,这项工作仍然缺乏监管力度。
他说:“它的真正目的是从态势感知开始,讨论公共和私营部门实体之间共享信息的重要性,从而建立弹性。” “他们说有一个工具包,但该工具包似乎主要由指南组成 - 你知道,PDF 文档。所以简短的回答是,我不知道 Shields Ready 活动会产生什么结果。”
然而,OT 网络安全提供商 Nozomi Networks 的 OT 网络安全策略师 Danielle Jablanski 表示,在 Shields Ready 的框架下为所有 16 个关键基础设施部门制定通用指南可能是不可能的,因此最初的工作缺乏细节也就不足为奇了。网络。每个关键基础设施部门都有一个 行业风险管理机构 — 通常是国土安全部,但在某些情况下,能源部、国防部、卫生与公共服务部或运输部是指定的 SRMA — 将制定针对特定部门的指导方针和要求。
“我认为政府现在更多地处于审计模式,”她说。 “重要的是要记住,关键基础设施不是单一的,没有一刀切的安全计划、程序或一套控制措施可以使所有 16 个部门都受益。”
鼓励关键基础设施安全:胡萝卜还是大棒?
这些努力在很大程度上似乎只是为了让行业高管参与进来。 Critical Insight 的汉密尔顿表示,由于安全仍然是一个成本中心(开展业务的税收),公司自然希望最大限度地减少这些支出,这就是为什么可能需要采取惩罚性行动来实施许多建议。
要求高管对其公司在灾难或网络攻击期间的表现承担责任,例如 对 SolarWinds 首席信息安全官的指控 ——他说,这对这个行业来说已经是一个猛烈的觉醒。
“在向参议员、将军和州长介绍情况后,我发现你可以随心所欲地谈论可怕的俄罗斯人、供应链、缓冲区溢出和 SQL 注入,但你只会翻白眼,”汉密尔顿说。 “但只要你说‘行政疏忽’,就有听众了。这正是政府正在做的事情——他们将认为行政领导存在疏忽,这引起了所有人的关注。”
- :具有
- :是
- :不是
- $UP
- 16
- 2017
- 2021
- 7
- a
- 对,能力--
- 关于
- 横过
- 操作
- 行动
- 地址
- 事务
- 驳
- 机构
- 目标
- 所有类型
- 已经
- 还
- an
- 和
- 和基础设施
- 回答
- 任何
- 出现
- 出现
- 保健
- 围绕
- AS
- 假设
- At
- 攻击
- 关注我们
- 听众
- 审计
- 意识
- BE
- 因为
- 很
- 好处
- 更好
- 之间
- 板
- 都
- 缓冲
- 建筑物
- 商业
- 但是
- by
- 加州
- 呼叫
- 营销活动
- CAN
- 例
- 造成
- Center
- 一定
- 链
- 链
- 挑战
- 收费
- CISO
- 联合创始人
- 如何
- 未来
- 地区
- 公司
- 公司
- 竞争者
- 顾问
- 继续
- 控制
- 控制
- 说服
- 冠状病毒
- 冠状病毒大流行
- 价格
- 覆盖
- 危急
- 关键基础设施
- 电流
- 网络攻击
- 网络攻击
- 网络安全
- 危险
- 达尼埃尔
- 国防
- 防卫
- 问题类型
- 国土安全部
- 指定
- 详情
- 开发
- 副总经理
- 灾害
- 灾害
- 瓦解
- 中断
- 文件
- 文件
- 做
- 不
- 向下
- 毒品
- 配音
- ,我们将参加
- 每
- 努力
- 工作的影响。
- 紧急
- 重点
- 能源
- 实体
- 每个人
- 究竟
- 例子
- 执行
- 管理人员
- 设备
- 著名
- 联邦调查局
- 联邦
- 公司
- 五
- 重点
- 针对
- 发现
- 骨架
- 止
- 未来
- 天然气
- 其他咨询
- 得到
- 越来越
- 去
- 走了
- 政府
- 方针
- 指南
- 汉密尔顿
- 发生
- 硬
- 有
- 有
- he
- 健康管理
- 相关信息
- 老旧房屋
- 举行
- 家园
- 国土安全部
- 医院
- 创新中心
- How To
- HTML
- HTTPS
- 人
- i
- 确定
- 影响力故事
- 实施
- 重要性
- 重要
- 不可能
- in
- 增加
- 个人
- 产业
- 行业中的应用:
- 必然
- 信息
- 信息化
- 基础设施
- 初始
- 倡议
- 项目
- 洞察
- 房源搜索
- 成
- 投资
- 发行
- IT
- 它的
- 仁
- JPG
- 只是
- 保持
- 知道
- 已知
- 领导团队
- 导致
- Level
- 光
- 容易
- 寻找
- 制成
- 主要
- 使
- 颠覆性技术
- 许多
- 问题
- 可能..
- 手段
- 的话
- Michael (中国)
- 时尚
- 单片
- 月
- 更多
- 最先进的
- 大多
- 必须
- 国家
- 必要
- 网络
- 没有
- 十一月
- of
- on
- 操作
- 操作者
- 运营商
- or
- 组织
- 我们的
- 输出
- 流感大流行
- 部分
- 过去
- 性能
- Pfizer
- 制药
- 的
- 管道
- 计划
- 规划行程
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 预测
- Prepare
- 准备
- 准备
- 总统
- 以前
- 私立
- 私营部门
- 市场问题
- 曲目
- 提供者
- 供应商
- 国家
- 放
- 勒索
- RE
- 反应
- 准备
- 真
- 最近
- 建议
- 恢复
- 定期
- 监管
- 依靠
- 纪念
- 岗位要求
- 弹性
- 弹性
- 资源
- 回应
- 风险
- 变更管理
- 运行
- 俄罗斯
- s
- 实现安全
- 说
- 同
- 对工资盗窃
- 说
- 学区情况
- 扇形
- 特定部门
- 行业
- 保安
- 参议员
- 系列
- 特色服务
- 集
- 严重
- 共享
- 她
- 短
- 短缺
- 关闭
- 自
- So
- 一些
- 或很快需要,
- 来源
- 东南
- 带头
- 具体的
- 开始
- 州
- 步骤
- 战略家
- 这样
- 供应
- 供应链
- 供应链
- 产品
- 采取
- 服用
- 谈论
- 说
- 税
- 专业技术
- 条款
- 这
- 未来
- 倡议
- 世界
- 其
- 那里。
- 他们
- 认为
- Free Introduction
- 今年
- 那些
- 威胁
- 威胁
- 始终
- 至
- 今晚
- 一起
- 汤姆
- 明天
- 工具箱
- 工具
- 龙卷风
- 触摸
- 对于
- 交通运输或是
- 二
- 一般
- 伞
- 下
- 联合的
- 美国
- us
- 美国政府
- Ve
- 副
- 副总裁
- 自愿的
- 想
- 水
- 周
- 什么是
- 这
- 而
- 为什么
- 将
- 世界
- 最差
- 年
- 年
- 完全
- 和风网