دولت ایالات متحده مجموعه ای از نسخه ها را برای آماده سازی اپراتورهای زیرساختی حیاتی برای بلایا، حملات فیزیکی و حملات سایبری با تاکید بر توانایی بازیابی از اختلالات در آینده صادر کرده است.

این ابتکار که "Shields Ready" نامیده می‌شود، با هدف متقاعد کردن 16 بخش زیرساخت‌های حیاتی شناسایی شده برای سرمایه‌گذاری در تقویت سیستم‌ها و خدمات خود در برابر هر گونه اختلال، صرف نظر از منبع آن، است. این تلاش که توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA) و آژانس مدیریت اضطراری فدرال (FEMA) هدایت می‌شود، فرض می‌کند که حملات و بلایای طبیعی اتفاق می‌افتد و از اپراتورهای زیرساخت‌های حیاتی می‌خواهد که برای ادامه خدمات آماده شوند.

جن ایسترلی، مدیر CISA گفت، به هم پیوستگی 16 بخش زیرساختی حیاتی و زنجیره تامینی که آنها بر آن تکیه دارند، به این معنی است که آمادگی بسیار مهم است.

او گفت: «شرکت‌های زیرساختی حیاتی کشور ما - از مدارس گرفته تا بیمارستان‌ها تا تأسیسات آبی - باید ابزار و منابع لازم برای پاسخگویی به اختلالات و بهبودی از اختلال را داشته باشند. در بیانیه ای گفت. با برداشتن گام‌های امروزی برای آماده‌سازی برای حوادث، زیرساخت‌های حیاتی، جوامع و افراد می‌توانند برای بازیابی از تأثیر تهدیدات فردا و آینده بهتر آماده شوند.»

خطرات زیرساخت های حیاتی در سال های اخیر افزایش یافته است، با اختلالات ناشی از بلایای شدید - مانند آتش سوزی در کالیفرنیا و همه گیری ویروس کرونا - و حملات سایبری. در پنج سال گذشته، به عنوان مثال، شرکت داروسازی مرک دچار قطعی بزرگ شد به دلیل حمله سایبری NotPetya در سال 2017، در حالی که امسال رقیب Pfizer دچار یک گردباد شد در یک انبار بزرگ که باعث اختلال در عرضه برخی داروها شد. و معروف است، در می 2021، اپراتور خط لوله ایالات متحده، Colonial Pipeline مورد حمله باج افزار قرار گرفت، خدمات خود را به مدت یک هفته تعطیل کرد که منجر به کمبود گاز در سراسر جنوب شرقی ایالات متحده شد.

یک کمپین قبلی، معروف به "Sields Up"، بر متقاعد کردن سازمان‌های زیرساختی حیاتی برای انجام اقدامات دفاعی در واکنش به اطلاعات تهدید خاص متمرکز بود. مایکل همیلتون، یکی از بنیانگذاران و CISO از Critical Insight، یک مشاور امنیت سایبری، می گوید که Shields Ready همه چیز در مورد آماده شدن برای بدترین اتفاقات است.

او با اشاره به هشدارهای منظم FBI و CISA به کنترل صنعتی و ارائه‌دهندگان زیرساخت‌های حیاتی می‌گوید: «پیام پنهان در اینجا این است که در حال آمدن است، و با نگاهی به سراسر جهان، پیش‌بینی آن چندان سخت نیست. سخت نیست که دو و دو را کنار هم قرار دهیم و بگوییم، می‌دانید که سطح تهدید برای اختلال در زیرساخت‌ها بالا رفته است.»

ابتکارات سیاست برای Shields Ready

یک مشکل برای ابتکار این است که بسیاری از توصیه های فعلی داوطلبانه و اطلاعاتی هستند. از ماه نوامبر به عنوان "ماه امنیت و انعطاف پذیری زیرساخت های حیاتی" CISA نامگذاری شده است یک جعبه ابزار منتشر کرد برای ارائه دهندگان زیرساخت های حیاتی، یک سند 15 صفحه ای که تهدیدات خاص، چالش های امنیتی و تمرین های خود ارزیابی را پوشش می دهد. آژانس نیز منتشر شده چارچوب برنامه ریزی انعطاف پذیری زیرساخت (IRPF) و راهنمایی هایی در مورد چگونگی توسعه زنجیره تامین انعطاف پذیر و نحوه پاسخ به یک حمله سایبری.

تام گوارنت، معاون امور دولتی در آرمیس، یک شرکت امنیتی فناوری عملیاتی (OT) می‌گوید با این حال، این تلاش فاقد دندان‌های نظارتی است.

او می‌گوید: «آنچه که به نظر می‌رسد واقعاً درباره آن است، ایجاد انعطاف‌پذیری از نظر شروع با آگاهی از موقعیت، صحبت در مورد اهمیت به اشتراک‌گذاری اطلاعات بین نهادهای بخش دولتی و خصوصی است. «آنها می گویند یک جعبه ابزار وجود دارد، اما به نظر می رسد این جعبه ابزار عمدتاً از دستورالعمل ها تشکیل شده است - می دانید، اسناد PDF. بنابراین پاسخ کوتاه این است که نمی‌دانم از کمپین Shields Ready چه نتیجه‌ای خواهد گرفت.»

دانیل جابلانسکی، استراتژیست امنیت سایبری OT در Nozomi Networks، ارائه‌دهنده امنیت سایبری برای OT، می‌گوید با این حال، ارائه دستورالعمل‌های کلی تحت چتر Shields Ready برای همه ۱۶ بخش زیرساخت‌های حیاتی، احتمالا غیرممکن است، بنابراین جای تعجب نیست که تلاش اولیه فاقد جزئیات باشد. شبکه های. هر بخش زیرساخت حیاتی دارای یک آژانس مدیریت ریسک بخش - معمولاً وزارت امنیت داخلی، اما در برخی موارد وزارت انرژی، دفاع، بهداشت و خدمات انسانی یا حمل و نقل SRMA تعیین شده است - که دستورالعمل ها و الزامات خاص بخش را ایجاد می کند.

او می‌گوید: «من فکر می‌کنم که دولت امروز بیشتر در حالت حسابرسی است. مهم است که به یاد داشته باشید که زیرساخت‌های حیاتی یکپارچه نیستند، هیچ طرح امنیتی، برنامه یا مجموعه‌ای از کنترل‌ها وجود ندارد که برای همه ۱۶ بخش یکسان باشد.»

تشویق ایمنی زیرساخت های حیاتی: هویج یا چوب؟

این تلاش‌ها، در بیشتر موارد، به نظر می‌رسد که در جهت جذب مدیران صنعت تاثیری ملایم دارند. همیلتون از Critical Insight می‌گوید: از آنجایی که امنیت همچنان یک مرکز هزینه است - مالیات بر انجام تجارت - شرکت‌ها طبیعتاً می‌خواهند این هزینه‌ها را به حداقل برسانند، به همین دلیل است که اقدامات تنبیهی احتمالاً برای اجرای بسیاری از توصیه‌ها ضروری است.

مسئول دانستن مدیران در قبال عملکرد شرکتشان در طول یک فاجعه یا حمله سایبری - مانند اتهامات علیه CISO SolarWinds او می‌گوید: قبلاً یک بیداری بی‌ادبانه برای صنعت بوده است.

همیلتون می‌گوید: «با اطلاع‌رسانی به سناتورها، ژنرال‌ها و فرمانداران، متوجه شدم که شما می‌توانید در مورد روس‌های ترسناک، زنجیره‌های تأمین، سرریزهای بافر و تزریق SQL هر آنچه که می‌خواهید صحبت کنید، و شما فقط چشم‌ها را به خود خیره خواهید کرد». اما به محض اینکه می گویید «سهل انگاری اجرایی»، مخاطب دارید. این دقیقاً همان کاری است که دولت انجام می دهد - آنها رهبری اجرایی را سهل انگارانه می دانند و این توجه همه را به خود جلب می کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks