Η κυβέρνηση των ΗΠΑ έχει εκδώσει μια σειρά συνταγών για την προετοιμασία των χειριστών υποδομής ζωτικής σημασίας για καταστροφές, φυσικές επιθέσεις και κυβερνοεπιθέσεις, με έμφαση στην ικανότητα ανάκαμψης από διακοπές στο μέλλον.

Η πρωτοβουλία, που ονομάζεται "Shields Ready", έχει στόχο να πείσει 16 αναγνωρισμένους τομείς υποδομής ζωτικής σημασίας να επενδύσουν στη σκλήρυνση των συστημάτων και των υπηρεσιών τους έναντι οποιασδήποτε διαταραχής, ανεξάρτητα από την πηγή. Η προσπάθεια, με επικεφαλής τόσο την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) όσο και την Ομοσπονδιακή Υπηρεσία Διαχείρισης Έκτακτης Ανάγκης (FEMA), υποθέτει ότι θα συμβούν επιθέσεις και καταστροφές και καλεί τους φορείς εκμετάλλευσης κρίσιμων υποδομών να προετοιμαστούν για να συνεχίσουν να λειτουργούν οι υπηρεσίες.

Η διασύνδεση των 16 ζωτικών τομέων υποδομής και η εφοδιαστική αλυσίδα στην οποία βασίζονται, σημαίνει ότι η ετοιμότητα είναι κρίσιμη, δήλωσε η Jen Easterly, διευθύντρια της CISA.

«Οι οντότητες υποδομής ζωτικής σημασίας του έθνους μας - από σχολεία μέχρι νοσοκομεία έως εγκαταστάσεις ύδρευσης - πρέπει να έχουν τα εργαλεία και τους πόρους για να ανταποκριθούν και να ανακάμψουν από τη διαταραχή», είπε. είπε σε μια δήλωση. «Λαμβάνοντας μέτρα σήμερα για την προετοιμασία για περιστατικά, οι κρίσιμες υποδομές, οι κοινότητες και τα άτομα μπορούν να είναι καλύτερα προετοιμασμένα για να ανακάμψουν από τις επιπτώσεις των απειλών του αύριο και στο μέλλον».

Οι κίνδυνοι για τις ζωτικής σημασίας υποδομές έχουν αυξηθεί τα τελευταία χρόνια, με διακοπές που προκαλούνται από σοβαρές καταστροφές - όπως οι πυρκαγιές στην Καλιφόρνια και η πανδημία του κορωνοϊού - και οι κυβερνοεπιθέσεις. Τα τελευταία πέντε χρόνια, για παράδειγμα, η φαρμακευτική εταιρεία Merck υπέστη σημαντική διακοπή λόγω της κυβερνοεπίθεσης NotPetya το 2017, ενώ φέτος η Pfizer υπέστη χτύπημα ανεμοστρόβιλου σε μεγάλη αποθήκη που προκάλεσε διακοπές στην προμήθεια ορισμένων φαρμάκων. Και το περίφημο, τον Μάιο του 2021, ο χειριστής αγωγών των ΗΠΑ Colonial Pipeline υπέστη επίθεση ransomware, κλείνοντας τις υπηρεσίες της για μια εβδομάδα, γεγονός που οδήγησε σε ελλείψεις φυσικού αερίου σε όλες τις νοτιοανατολικές Ηνωμένες Πολιτείες.

Μια προηγούμενη εκστρατεία, γνωστή ως "Shields Up", επικεντρώθηκε στο να πείσει τους οργανισμούς υποδομής ζωτικής σημασίας να αναλάβουν αμυντικές ενέργειες ως αντίδραση σε συγκεκριμένες πληροφορίες απειλών. Το Shields Ready έχει να κάνει με την προετοιμασία για το χειρότερο σε όλα τα επίπεδα, λέει ο Michael Hamilton, συνιδρυτής και CISO της Critical Insight, μιας εταιρείας συμβούλων για την ασφάλεια στον κυβερνοχώρο.

«Το κρυμμένο μήνυμα εδώ είναι ότι έρχεται, και κοιτάζοντας σε όλο τον κόσμο, δεν είναι τόσο δύσκολο να το προβλέψεις», λέει, δείχνοντας τις τακτικές προειδοποιήσεις του FBI και της CISA προς τους παρόχους βιομηχανικού ελέγχου και ζωτικής σημασίας υποδομών. «Δεν είναι δύσκολο να συνδυάσεις δύο και δύο και να πεις, ξέρεις ότι το επίπεδο απειλής έχει ανέβει λόγω διακοπής της υποδομής».

Πολιτικές Πρωτοβουλίες για το Shields Ready

Ένα πρόβλημα για την πρωτοβουλία είναι ότι πολλές από τις τρέχουσες συστάσεις είναι εθελοντικές και ενημερωτικές. Από τον Νοέμβριο έχει οριστεί ως «Μήνας Ασφάλειας και Ανθεκτικότητας Κρίσιμων Υποδομών», CISA δημοσίευσε μια εργαλειοθήκη για τους παρόχους υποδομών ζωτικής σημασίας, ένα έγγραφο 15 σελίδων που καλύπτει συγκεκριμένες απειλές, προκλήσεις ασφαλείας και ασκήσεις αυτοαξιολόγησης. Το πρακτορείο επίσης δημοσιεύθηκε το Πλαίσιο Σχεδιασμού Ανθεκτικότητας της Υποδομής (IRPF) και οδηγούς για το πώς να αναπτύξετε μια ανθεκτική αλυσίδα εφοδιασμού και πώς να ανταποκριθείτε σε μια κυβερνοεπίθεση.

Ωστόσο, η προσπάθεια δεν έχει ρυθμιστικά δόντια, λέει ο Tom Guarente, αντιπρόεδρος κυβερνητικών υποθέσεων στην Armis, μια εταιρεία ασφάλειας επιχειρησιακής τεχνολογίας (OT).

«Αυτό που φαίνεται να αφορά πραγματικά είναι η οικοδόμηση ανθεκτικότητας όσον αφορά την αρχή με επίγνωση της κατάστασης, μιλώντας για τη σημασία της ανταλλαγής πληροφοριών μεταξύ οντοτήτων του δημόσιου και του ιδιωτικού τομέα», λέει. «Λένε ότι υπάρχει μια εργαλειοθήκη, και όμως η εργαλειοθήκη φαίνεται να αποτελείται κυρίως από οδηγίες — ξέρετε, έγγραφα PDF. Η σύντομη απάντηση λοιπόν είναι ότι δεν ξέρω τι θα προκύψει από την καμπάνια του Shields Ready».

Ωστόσο, η εύρεση γενικών κατευθυντήριων γραμμών υπό την ομπρέλα του Shields Ready και για τους 16 τομείς κρίσιμης σημασίας υποδομής είναι πιθανώς αδύνατη, επομένως δεν προκαλεί έκπληξη το γεγονός ότι η αρχική προσπάθεια στερείται λεπτομερειών, λέει η Danielle Jablanski, στρατηγικός κυβερνοασφάλειας OT στη Nozomi Networks, πάροχος κυβερνοασφάλειας για OT δίκτυα. Κάθε τομέας υποδομής ζωτικής σημασίας έχει ένα Οργανισμός Διαχείρισης Κινδύνων Τομέα — συνήθως το Υπουργείο Εσωτερικής Ασφάλειας, αλλά σε ορισμένες περιπτώσεις το Υπουργείο Ενέργειας, Άμυνας, Υγείας και Ανθρωπίνων Υπηρεσιών ή Μεταφορών είναι το καθορισμένο SRMA — το οποίο θα καθορίζει κατευθυντήριες γραμμές και απαιτήσεις ανά τομέα.

«Νομίζω ότι η κυβέρνηση είναι περισσότερο σε μια κατάσταση ελέγχου σήμερα», λέει. «Είναι σημαντικό να θυμόμαστε ότι οι υποδομές ζωτικής σημασίας δεν είναι μονολιθικές, δεν υπάρχει ένα ενιαίο σχέδιο ασφαλείας, πρόγραμμα ή σύνολο ελέγχων που να ωφελεί και τους 16 τομείς το ίδιο».

Ενθάρρυνση της ασφάλειας των υποδομών ζωτικής σημασίας: Καρότο ή ραβδί;

Αυτές οι προσπάθειες, ως επί το πλείστον, φαίνεται να παίρνουν μια ελαφριά πινελιά για να συμμετάσχουν στελέχη του κλάδου. Επειδή η ασφάλεια εξακολουθεί να είναι ένα κέντρο κόστους - ο φόρος της επιχειρηματικής δραστηριότητας - οι εταιρείες θέλουν φυσικά να ελαχιστοποιήσουν αυτές τις δαπάνες, γι' αυτό πιθανότατα θα απαιτηθούν τιμωρητικές ενέργειες για να εφαρμοστούν πολλές από τις συστάσεις, λέει ο Hamilton της Critical Insight.

Θέτοντας τα στελέχη υπεύθυνα για την απόδοση της εταιρείας τους κατά τη διάρκεια μιας καταστροφής ή μιας κυβερνοεπίθεσης — όπως π.χ τις κατηγορίες κατά του CISO της SolarWinds — ήταν ήδη ένα αγενές ξύπνημα για τη βιομηχανία, λέει.

«Έχοντας ενημερώσει τους γερουσιαστές, τους στρατηγούς και τους κυβερνήτες, ανακάλυψα ότι μπορείτε να μιλήσετε για τρομακτικούς Ρώσους, αλυσίδες εφοδιασμού, υπερχείλιση buffer και έγχυση SQL ό,τι θέλετε, και απλώς θα σας ξετρελάνει», λέει ο Hamilton. «Αλλά από τη στιγμή που λες «εκτελεστική αμέλεια», έχεις κοινό. Αυτό ακριβώς κάνει η κυβέρνηση — θα κρατήσουν την εκτελεστική ηγεσία ως αμελή και αυτό τραβάει την προσοχή όλων».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks