دولت ایالات متحده مجموعه ای از نسخه ها را برای آماده سازی اپراتورهای زیرساختی حیاتی برای بلایا، حملات فیزیکی و حملات سایبری با تاکید بر توانایی بازیابی از اختلالات در آینده صادر کرده است.
این ابتکار که "Shields Ready" نامیده میشود، با هدف متقاعد کردن 16 بخش زیرساختهای حیاتی شناسایی شده برای سرمایهگذاری در تقویت سیستمها و خدمات خود در برابر هر گونه اختلال، صرف نظر از منبع آن، است. این تلاش که توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA) و آژانس مدیریت اضطراری فدرال (FEMA) هدایت میشود، فرض میکند که حملات و بلایای طبیعی اتفاق میافتد و از اپراتورهای زیرساختهای حیاتی میخواهد که برای ادامه خدمات آماده شوند.
جن ایسترلی، مدیر CISA گفت، به هم پیوستگی 16 بخش زیرساختی حیاتی و زنجیره تامینی که آنها بر آن تکیه دارند، به این معنی است که آمادگی بسیار مهم است.
او گفت: «شرکتهای زیرساختی حیاتی کشور ما - از مدارس گرفته تا بیمارستانها تا تأسیسات آبی - باید ابزار و منابع لازم برای پاسخگویی به اختلالات و بهبودی از اختلال را داشته باشند. در بیانیه ای گفت. با برداشتن گامهای امروزی برای آمادهسازی برای حوادث، زیرساختهای حیاتی، جوامع و افراد میتوانند برای بازیابی از تأثیر تهدیدات فردا و آینده بهتر آماده شوند.»
خطرات زیرساخت های حیاتی در سال های اخیر افزایش یافته است، با اختلالات ناشی از بلایای شدید - مانند آتش سوزی در کالیفرنیا و همه گیری ویروس کرونا - و حملات سایبری. در پنج سال گذشته، به عنوان مثال، شرکت داروسازی مرک دچار قطعی بزرگ شد به دلیل حمله سایبری NotPetya در سال 2017، در حالی که امسال رقیب Pfizer دچار یک گردباد شد در یک انبار بزرگ که باعث اختلال در عرضه برخی داروها شد. و معروف است، در می 2021، اپراتور خط لوله ایالات متحده، Colonial Pipeline مورد حمله باج افزار قرار گرفت، خدمات خود را به مدت یک هفته تعطیل کرد که منجر به کمبود گاز در سراسر جنوب شرقی ایالات متحده شد.
یک کمپین قبلی، معروف به "Sields Up"، بر متقاعد کردن سازمانهای زیرساختی حیاتی برای انجام اقدامات دفاعی در واکنش به اطلاعات تهدید خاص متمرکز بود. مایکل همیلتون، یکی از بنیانگذاران و CISO از Critical Insight، یک مشاور امنیت سایبری، می گوید که Shields Ready همه چیز در مورد آماده شدن برای بدترین اتفاقات است.
او با اشاره به هشدارهای منظم FBI و CISA به کنترل صنعتی و ارائهدهندگان زیرساختهای حیاتی میگوید: «پیام پنهان در اینجا این است که در حال آمدن است، و با نگاهی به سراسر جهان، پیشبینی آن چندان سخت نیست. سخت نیست که دو و دو را کنار هم قرار دهیم و بگوییم، میدانید که سطح تهدید برای اختلال در زیرساختها بالا رفته است.»
ابتکارات سیاست برای Shields Ready
یک مشکل برای ابتکار این است که بسیاری از توصیه های فعلی داوطلبانه و اطلاعاتی هستند. از ماه نوامبر به عنوان "ماه امنیت و انعطاف پذیری زیرساخت های حیاتی" CISA نامگذاری شده است یک جعبه ابزار منتشر کرد برای ارائه دهندگان زیرساخت های حیاتی، یک سند 15 صفحه ای که تهدیدات خاص، چالش های امنیتی و تمرین های خود ارزیابی را پوشش می دهد. آژانس نیز منتشر شده چارچوب برنامه ریزی انعطاف پذیری زیرساخت (IRPF) و راهنمایی هایی در مورد چگونگی توسعه زنجیره تامین انعطاف پذیر و نحوه پاسخ به یک حمله سایبری.
تام گوارنت، معاون امور دولتی در آرمیس، یک شرکت امنیتی فناوری عملیاتی (OT) میگوید با این حال، این تلاش فاقد دندانهای نظارتی است.
او میگوید: «آنچه که به نظر میرسد واقعاً درباره آن است، ایجاد انعطافپذیری از نظر شروع با آگاهی از موقعیت، صحبت در مورد اهمیت به اشتراکگذاری اطلاعات بین نهادهای بخش دولتی و خصوصی است. «آنها می گویند یک جعبه ابزار وجود دارد، اما به نظر می رسد این جعبه ابزار عمدتاً از دستورالعمل ها تشکیل شده است - می دانید، اسناد PDF. بنابراین پاسخ کوتاه این است که نمیدانم از کمپین Shields Ready چه نتیجهای خواهد گرفت.»
دانیل جابلانسکی، استراتژیست امنیت سایبری OT در Nozomi Networks، ارائهدهنده امنیت سایبری برای OT، میگوید با این حال، ارائه دستورالعملهای کلی تحت چتر Shields Ready برای همه ۱۶ بخش زیرساختهای حیاتی، احتمالا غیرممکن است، بنابراین جای تعجب نیست که تلاش اولیه فاقد جزئیات باشد. شبکه های. هر بخش زیرساخت حیاتی دارای یک آژانس مدیریت ریسک بخش - معمولاً وزارت امنیت داخلی، اما در برخی موارد وزارت انرژی، دفاع، بهداشت و خدمات انسانی یا حمل و نقل SRMA تعیین شده است - که دستورالعمل ها و الزامات خاص بخش را ایجاد می کند.
او میگوید: «من فکر میکنم که دولت امروز بیشتر در حالت حسابرسی است. مهم است که به یاد داشته باشید که زیرساختهای حیاتی یکپارچه نیستند، هیچ طرح امنیتی، برنامه یا مجموعهای از کنترلها وجود ندارد که برای همه ۱۶ بخش یکسان باشد.»
تشویق ایمنی زیرساخت های حیاتی: هویج یا چوب؟
این تلاشها، در بیشتر موارد، به نظر میرسد که در جهت جذب مدیران صنعت تاثیری ملایم دارند. همیلتون از Critical Insight میگوید: از آنجایی که امنیت همچنان یک مرکز هزینه است - مالیات بر انجام تجارت - شرکتها طبیعتاً میخواهند این هزینهها را به حداقل برسانند، به همین دلیل است که اقدامات تنبیهی احتمالاً برای اجرای بسیاری از توصیهها ضروری است.
مسئول دانستن مدیران در قبال عملکرد شرکتشان در طول یک فاجعه یا حمله سایبری - مانند اتهامات علیه CISO SolarWinds او میگوید: قبلاً یک بیداری بیادبانه برای صنعت بوده است.
همیلتون میگوید: «با اطلاعرسانی به سناتورها، ژنرالها و فرمانداران، متوجه شدم که شما میتوانید در مورد روسهای ترسناک، زنجیرههای تأمین، سرریزهای بافر و تزریق SQL هر آنچه که میخواهید صحبت کنید، و شما فقط چشمها را به خود خیره خواهید کرد». اما به محض اینکه می گویید «سهل انگاری اجرایی»، مخاطب دارید. این دقیقاً همان کاری است که دولت انجام می دهد - آنها رهبری اجرایی را سهل انگارانه می دانند و این توجه همه را به خود جلب می کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks