liittovaltion hallitus pyrkii tukemaan kriittistä kansallista turvallisuutta

Liittovaltion hallitus ryhtyy tukemaan kriittistä kansallista turvallisuutta

Colonial Pipeline -hyökkäys vuonna 2021 oli käännekohta kriittiselle infrastruktuurille Yhdysvalloissa. Kun ransomware-hyökkäys putkioperaattorin hallintoverkostoon metastasoitui bensiinin huimiin hintoihin itärannikolla; sinun on parempi uskoa, että poliittiset päättäjät katsoivat. Kilpailu käytiin suojella kriittistä kansallista infrastruktuuria (CNI) – yksityisen ja julkisen sektorin palvelujen selkäranka, jotka pitävät maan käynnissä. 

Hallitus ryhtyi vahvistamaan suojaa liittovaltion tasolla, mikä johti strategiaan, joka sisälsi sääntelypäivitykset, käyttämättömien viranomaisten täyden aktivoinnin ja vapaaehtoiset mekanismit, jotka auttavat kovettamaan CNI:tä hyökkäyksiä vastaan. Esimerkiksi Department of Homeland Security (DHS) julkaistut direktiivit putkistojen turvallisuuden vahvistamiseksi. Marraskuun 2021 infrastruktuuri-investoinneista ja työpaikoista annettu laki antoi huomattavan rahoituksen CNI-hankkeille paikallistasolla. The Cyber ​​Incident Reporting for Critical Infrastructure Act 2022 (CIRCIA)valtuutettu CNI-tapahtumaraportointi. 

Huhtikuussa 2024, lähes kolme vuotta siirtomaahyökkäyksen jälkeen, presidentti Biden jatkoi tämän kaltaisia ​​ponnisteluja Kansallinen turvallisuusmuistio (NSM-22) Critical Infrastructure Security and Resilience, jossa esitettiin yksityiskohtaisemmin hallinnon suunnitelmat CNI:n suojaamiseksi. Tämä asiakirja korvaa edeltäjänsä, Obaman aikakauden presidentin politiikkadirektiivin kriittisen infrastruktuurin turvallisuudesta ja kestävyydestä (PD-21). Siinä on kuitenkin edelleen säilytetty monia PPD-21:n käsitteitä, mukaan lukien 16 kriittisen kansallisen infrastruktuurin nimeäminen kemikaaleista patojen ja rahoituspalveluihin. 

NSM-22 asettaa vähimmäisturva- ja joustavuusvaatimukset kriittisen infrastruktuurin sektoreille. Se asettaa Department of Homeland Securityn (DHS) suoraan johtoon johtamaan hallituksen pyrkimyksiä suojella CNI:tä ja nimeää sen Cybersecurity & Infrastructure Security Agencyn (CISA) turvallisuuden ja kestävyyden kansalliseksi koordinaattoriksi. Osana tätä strategiaa sisäturvallisuusministerin on toimitettava presidentille joka toinen vuosi kansallinen riskienhallintasuunnitelma. 

Kesäkuun ohjeet edustavat DHS:n suunnitelmaa tälle ensimmäiselle kaksivuotisjaksolle. Kotimaan turvallisuuden ministeri Alejandro N. Mayorkas hahmotteli kriittisen infrastruktuurin turvallisuutta ja kestävyyttä koskevien ponnistelujen strategista ohjausta ja kansallisia prioriteetteja seuraaville kahdelle vuodelle.  

Uusi ohje keskittyy viiteen avainalueeseen, joista vain osa mainittiin tangentiaalisesti NSM-22:ssa: 

  • Kiinan kansantasavallan aiheuttamiin kyber- ja muihin uhkiin puuttuminen 
  • Tekoälyn ja muiden uusien teknologioiden tarjoamien riskien ja mahdollisuuksien hallinta 
  • Toimitusketjun haavoittuvuuksien tunnistaminen ja lieventäminen 
  • Ilmastoriskien sisällyttäminen alan resilienssitoimiin 
  • Käsitellään kriittisen infrastruktuurin kasvavaa riippuvuutta avaruusjärjestelmistä ja -varoista 

Nämä alueet vastaavat kasvavaa huolta CNI:tä uhkaavista uhista liittovaltion hallituksessa. Esimerkiksi tammikuussa FBI:n johtaja Christopher Wray todisti Kiinan kommunistista puoluetta käsittelevä edustajainhuoneen valiokunta, jonka mukaan Kiina asetti itsensä "aiheuttaakseen tuhoa" Yhdysvaltain CNI:lle. 

DHS:n ohjeissa noudatetaan yhteistyöhön perustuvaa lähestymistapaa. DHS värvää näistä aloista vastaavia virastoja auttamaan suojatoimenpiteiden toteuttamisessa näillä alueilla. Siihen osallistuvat myös liittovaltion virastot, kriittisen infrastruktuurin omistajat ja operaattorit sekä muut valtion ja yksityisen sektorin sidosryhmät. 

Nämä suojatoimenpiteet eivät ota huomioon tekniikan, kuten tekoälyn, aiheuttamia erityisiä uhkia. Pikemminkin ne heijastavat NSM-22:ssa hahmoteltuja sidosryhmien aktivoimiseksi. Ensimmäinen on rakentaa joustavuutta luomalla infrastruktuuri, joka voi toipua nopeasti hyökkäyksistä. Tämä myöntää, että pelkkä infrastruktuurin lujittaminen hyökkäysten pysäyttämiseksi ei riitä; operaattoreiden on oletettava, että jotkut hyökkäykset onnistuvat. 

Resilienssitoimia ovat mmjärjestelmäriippuvuuksien ymmärtäminen ja hyökkäysten mahdollisten kaskadivaikutusten ennakointi. Ohjeissa edellytetään myös systeemisten heikkouksien poikkisektorin analysointia ja tuodaan esiin, että on olemassa keskeisiä resursseja, joista monet alat ovat riippuvaisia. Energia on hyvä esimerkki, sillä se palvelee kaikkien muiden alojen tarpeita. NSM-22 oli jo käskenyt CISA:ta luomaan luettelon systeemisesti tärkeistä kokonaisuuksista – dominoista, jotka kaatuessaan voivat myös saada muut kaatumaan. 

Jokaisen alan viraston on perustettava pakolliset perusjoustovaatimukset, mieluiten käyttämällä olemassa olevia hallituksen ohjeita ja standardeja. Tämä on asia, jota Cybersecurity Policy and Law -keskus on korostanut: "Se myöntää, että vapaaehtoiset lähestymistavat turvallisuuteen ja sietokykyyn eivät ole olleet riittävän onnistuneita ja että pakolliset vähimmäisvaatimukset ovat välttämättömiä", sanoo CCPL:n koordinaattori Ari Schwartz. 

Keskeinen haaste tässä on näiden vaatimusten täytäntöönpano julkisella sektorilla. Ohjeissa ehdotetaan, että virastot käyttävät sekä avustuksen myöntämis- että hankintavaltuuksia, jotta nämä perustoimenpiteet pysyvät voimassa. Tämä tarkoittaa myös yhteistyötä palveluntarjoajien kanssa (ohjeissa nimetään pilvipalveluntarjoajat) varmistaakseen, että heidän palvelut ovat suunniteltuja turvallisia. 

Ainakin joidenkin alojen vastaukset viimeaikaisiin CNI-suojatoimenpiteisiin ovat olleet varovaisen optimistisia. Esimerkiksi kun Valkoinen talo julkaisi NSM-22:n, ASDWA (Association of State Drinking Water Administrators)vastasi: "Vaikka on epäselvää, kuinka uusi NSM vaikuttaa suoraan meneillään oleviin pyrkimyksiin lisätä joustavuutta vesi- ja jätevesisektorilla, ASDWA jatkaa yhteistyötä EPA:n ja alan kumppaneiden kanssa tukeakseen valtion ja liittovaltion toimia kaikkien vaarojen käsittelemiseksi, mukaan lukien viimeisimmät toimet. perustamaan kyberturvallisuustyöryhmän vesille vastaamaan alaa haastaviin kasvaviin kyberuhkiin." 

DHS:n ohjeet eivät lisänneet nykyiseen muistioon paljon muuta kuin selventämään erityisiä painopistealueita, joista on keskusteltu paljon erilaisissa toimeenpanomääräyksissä ja kyberturvallisuusstrategioissa. Se ei kuitenkaan ole ainoa asiakirja, jonka CISA on julkaissut infrastruktuurin kestävyydestä. Maaliskuussa 2024 se julkaisi an Infrastructure Resilience Planning Framework (IRPF) auttaa sidosryhmiä suunnittelemaan vankempaa infrastruktuuria, joka kestää paremmin hyökkäyksiä. Se julkaisi äskettäin a leikkikirja tämän kehyksen mukana. Tämän kaltainen työ toiminnan kestävyyden parantamiseksi on käynnissä, ja se huipentuu vuoden 2025 kansalliseen infrastruktuurin suojelusuunnitelmaan. Tämä korvaa vuoden 2013 suunnitelman, joka kuvastaa hallituksen päivitettyjä CNI-resilienssitavoitteita. On hyvä tietää, että CISA pitää silmällä palkintoa. 

kirjailija

Danny Bradbury

Danny Bradbury on ollut teknologiaan erikoistunut printtitoimittaja vuodesta 1989 ja freelance-kirjoittaja vuodesta 1994. Hän on kirjoittanut kansallisiin julkaisuihin molemmin puolin Atlanttia ja on voittanut palkintoja tutkivasta kyberturvallisuusjournalismista.

Näytä kaikki Danny Bradburyn viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!