President Joe Biden undertecknade på onsdagen ett memorandum om cybersäkerhet för kritisk infrastruktur och beordrade CISA och NIST att skapa riktmärken för organisationer som hanterar kritisk infrastruktur.
Flyttet bygger vidare på och formaliserade, började en insats i april kring att säkra industriella kontrollsystem, som nu står inför en skara attacker från både cyberkriminella och statstödda enheter.
I en press briefing förklarade en högre administrationstjänsteman att federal cybersäkerhetsreglering i USA är sektoriell, och noterade att landet har “ett lapptäcke av sektorsspecifika stadgar som har antagits bitvis, vanligtvis som svar på diskreta säkerhetshot i vissa sektorer som fått allmän uppmärksamhet. ”
Tjänstemannen tillade att det inte finns något strategiskt, samordnat krav på cybersäkerhet för kritisk infrastruktur.
“I den utsträckning, som jag noterade, finns det obligatoriska cybersäkerhetskrav. De är antingen sektorsspecifika -finansiella och kemiska; de har mandat enligt statlig eller lokal lag, som el, eller så är de begränsade och bitvis – vatten och el är två som vi har lagt mycket arbete på att studera under de senaste veckorna, säger tjänstemannen.
“Så, vår nuvarande hållning är fruktansvärt otillräcklig med tanke på det utvecklande hotet vi står inför idag. Vi sparkade verkligen burken på vägen länge. Administrationen är fast besluten att utnyttja varje myndighet vi har, men begränsad, och vi är också öppna till nya tillvägagångssätt, både frivilliga och obligatoriska. Ansvariga kritiska infrastrukturägare och operatörer bör följa frivillig vägledning samt obligatoriska krav för att säkerställa att de kritiska tjänster som det amerikanska folket förlitar sig på skyddas från cyberhot. “
< p>Promemorian formaliserar Industrial Control Systems Cybersecurity Initiative, som Vita huset sade var en “frivillig, samarbetsansträngning mellan den federala regeringen och det kritiska infrastruktursamhället för att avsevärt förbättra cybersäkerheten för dessa kritiska system.”
The första delen av initiativet började med elsektorn, enligt ett uttalande från Vita huset. Piloten startar nu en andra omgång på naturgasledningar. Vattensystem, liksom avloppsvattensektorsystem och den kemiska sektorn kommer att vara nästa.
De högre förvaltningstjänstemännen sa att ansträngningen redan har lett till att över 150 elleverantörer representerar nästan 90 miljoner privatkunder som distribuerar eller går med på att distribuera cybersäkerhetsteknologi för styrsystem.
“Detta är tekniken som hade funnits om de hade funnits , skulle ha blockerat det som inträffade vid Colonial Pipeline genom att de kopplar nätverkets operativa teknologisida till IT -sidan av nätet. Handlingsplanen för naturgasledningar pågår och ytterligare initiativ för andra sektorer kommer att följa senare i år, “sa tjänstemannen.
Vita huset erkände att varje organisation har olika cybersäkerhetsbehov men det beordrade CISA och NIST att arbeta tillsammans för att skapa cybersäkerhetsbaslinjer “som är konsekventa i alla kritiska infrastruktursektorer” och “säkerhetskontroller för utvald kritisk infrastruktur som är beroende av styrsystem. “
DHS har fram till den 22 september för att släppa de preliminära riktlinjerna och ett år på sig att utfärda det slutliga utkastet till reglerna. De sektorsspecifika reglerna kommer också att släppas inom ett år.
“Dessa prestationsmål bör tjäna som tydlig vägledning för ägare och operatörer om cybersäkerhetspraxis och ställningar som det amerikanska folket kan lita på och bör förvänta sig för sådana viktiga tjänster”, står det i promemorian.
“Den ansträngningen kan också innefatta en undersökning av om ytterligare juridiska myndigheter skulle vara fördelaktiga för att förbättra cybersäkerheten för kritisk infrastruktur, vilket är avgörande för det amerikanska folket och säkerheten för vår nation.”
En rapport från cybersäkerhetsforskare vid Trend Micro tidigare denna månad varnade för att ransomware är “ett oroande och snabbt utvecklande hot mot industriella kontrollsystems slutpunkter globalt” med en betydande ökning av aktiviteten under det senaste året.
Av alla länder som omfattas av rapporten har USA flest förekomster av ransomware som påverkar industriella kontrollsystem. Vita huset sa att nästan 90 procent av den kritiska infrastrukturen i USA ägs och drivs av den privata sektorn.
De senaste attackerna mot Colonial Pipeline och köttprocessorn JBS fick den federala regeringen att ta allvar med att tvinga cybersäkerhetsåtgärder på privata företag som kör kritiska system. Vita huset nämnde specifikt båda ransomware -attackerna som skäl till att det krävdes strängare åtgärder.
DHS presenterade ett nytt säkerhetsdirektiv för en vecka sedan som tvingar ägare och operatörer av viktiga rörledningar att sätta hårdare cybersäkerhetsskydd.
Promemorian kommer en dag efter att Biden fick en mindre uppståndelse med sina kommentarer om en cyberkonflikts förmåga att förvandlas till ett fysiskt krig.
“Du vet, vi har sett hur cyberhot, inklusive ransomware -attacker, alltmer kan orsaka skador och störningar i den verkliga världen”, sa Biden till journalister på tisdagen.
“Jag kan inte garantera detta, och du är lika informerad som jag, men jag tror att det är mer troligt att vi kommer att hamna – ja, om vi hamnar i ett krig, ett riktigt skjutkrig med en major makt, kommer det att bli en följd av ett cyberbrott med stor konsekvens. Och det ökar exponentiellt – kapaciteten. “
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Government Security TV Data Management CXO Data Centers 