Geçen yıl boyunca Biden yönetimi, sudan ulaşıma kadar kritik altyapı sektörlerinde çeşitli standartlar ve yönergeler yayınladı. Kritik altyapı benzersizdir çünkü neredeyse tüm Amerika Birleşik Devletleri vatandaşları, farkında olsun ya da olmasın her gün kritik bir ulusal altyapı (CNI) varlığından yararlanır. Dolayısıyla, bu CNI varlıklarından biri tehlikeye girdiğinde, etki genellikle kişisel düzeyde hissedilir. Sadece Koloni Boru Hattı ihlaline bakın: Amerikalılar ciddi bir yakıt sıkıntısından korktukları için benzin istasyonlarındaki hatlar her zamankinden daha uzundu.
Biden yönetiminin bu sektörleri güçlendirme çabaları iyi niyetli ve kesinlikle ABD hükümetinin siber güvenlik tehditlerini ciddiye aldığını gösteriyor. Önceki yönetimler her zaman siber güvenlik gücüne öncelik vermediği için bu çabalar takdire değer. Ancak niyetler bir yana, bu raporlama zorunlulukları ve standartlarının etkisiz ve hatta tehlikeli olması muhtemeldir.
Görünürlük Varsaymak
Endüstriyel kontrol sistemleri (ICS’ler) ve operasyonel teknoloji (OT) sistemlerinin bugün karşılaştığı ana sorunlardan biri, görünürlük eksikliğidir. Erişiminiz olmayan şeyleri güvence altına alamazsınız ve araştırmalar, kuruluşların büyük çoğunluğunun ICS ortamlarında sınırlı görünürlüğe sahip olduğunu göstermiştir – eğer herhangi bir görünürlükleri varsa.
Bu standartlar ve yetkiler tehlikeli bir şekilde kuruluşların ihlal edildiğini bildiklerini varsayar. Kuruluşlar, ICS ortamlarını izlemek için kaynaklara sahip değilse, bir tehdit aktörünün ağlarına girmeye çalıştığını asla bilemeyebilirler – veya daha kötüsü, bir tehdit aktörünün günler, aylar ve hatta yıllar boyunca ağın içinde olduğunu asla bilemezler. . Bu açıkçası 24 ve 72 saatlik raporlama görevlerinin yerine getirilmesini imkansız kılıyor. Ek olarak, özel işletmelere önemli bir yük getirecek, birbiriyle örtüşen düzenlemelerden oluşan bir karmakarışıklığa doğru gidiyoruz gibi görünüyor.
Dikkati Önemli Olan Şeylerden Uzaklaştırmak
Bu örtüşmenin bir örneği Senato tasarısıdır. S.2875 2021 Siber Olay Raporlama Yasası ve Ev faturası HR 5440 Kritik Altyapı için Siber Olay Raporlama. Bu faturaların, raporlama sürecini karmaşıklaştıran örtüşen gereksinimleri vardır. Kuruluşların, bir olayın hangi kategoriye girdiğini ve hangi devlet kurumunun bunu ele alması gerektiğini belirlemesi gerekecektir. Bunu yapmak için gereken kaynaklar, raporlama gereksinimlerinin karmaşıklıklarında gezinmek yerine güvenliği geliştirmeye ayrılmalıdır.
Gerçekten de, hükümet tarafından yayınlanan standartlara uymak, özellikle hükümetin başka bir sektör için başka bir yetkiye ihtiyacımız olduğunu belirlemesi için gerçek bir siber saldırı yapılması gerektiği göründüğünde, etkili güvenlik kontrollerini uygulamak için kullanılabilecek önemli ölçüde zaman ve kaynak gerektirir.
Çözüm
Kritik altyapı düzenleyicilerinin operasyonel esnekliğe daha fazla odaklanmasının zamanı geldi. Kuruluşların saldırılara yanıt vermesini, etkiyi en aza indirmesini ve operasyonları hızla geri yüklemesini sağlamaya odaklanın ve yatırımları artırın. Kritik altyapıya yönelik tüm siber saldırıların engellenemeyeceğini kabul etmeye başlamalıyız. Bu sistemlerin fiziksel doğası, saldırıların %100’ünü durdurmayı neredeyse imkansız kılıyor. Ancak yine de yanıt verme ve iyileşme kabiliyetimiz var ve çabalarımızı odaklamamız gereken yer burası.
Son olarak, bir adım geri atmanın ve tek bir kritik altyapı siber güvenlik standardı tanımlamanın zamanı geldi. Sektörünüz kritik altyapı olarak tanımlanıyorsa, tanımı gereği koruma gerektirir. Şimdi tekil bir kritik altyapı siber güvenlik standardı tanımlayalım ve görünürlüğü ve esnekliği artırmak için sistemlere yapılan artan yatırımlar da dahil olmak üzere korumayı uygulamaya başlayalım.