føderale regering flytter til at støtte op om et kritisk nationalt sikkerhedsbanner

Forbundsregeringen flytter til land med kritisk national sikkerhed

Colonial Pipeline-angrebet i 2021 var et vendepunkt for kritisk infrastruktur i USA, da et ransomware-angreb på en rørledningsoperatørs administrative netværk metastaserede til skyhøje benzinpriser på tværs af den østlige kyst; du må hellere tro, at politikerne så på. Kapløbet var i gang for at beskytte kritisk national infrastruktur (CNI) - rygraden i private og offentlige tjenester, der holder landet kørende. 

Regeringen flyttede for at styrke beskyttelsen på føderalt niveau, hvilket førte til en strategi, der omfattede regulatoriske opdateringer, fuld aktivering af ubrugte myndigheder og frivillige mekanismer til at hjælpe med at hærde CNI mod angreb. For eksempel Department of Homeland Security (DHS) offentliggjorte direktiver for at styrke rørledningssikkerheden. November 2021's lov om infrastrukturinvesteringer og jobs udgjorde betydelige midler til CNI-projekter på lokalt niveau. Det Cyber ​​Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)påbudt CNI-hændelsesrapportering. 

I april 2024, næsten tre år efter koloniangrebet, fulgte præsident Biden op indsatser som disse med National Security Memorandum (NSM-22) om Critical Infrastructure Security and Resilience, som beskriver administrationens planer om at beskytte CNI mere detaljeret. Dette dokument erstatter dets forgænger, Obama-æraens præsidentielle politikdirektiv om kritisk infrastruktursikkerhed og modstandsdygtighed (PD-21). Det bevarer dog stadig mange af PPD-21's koncepter, herunder udpegningen af ​​16 kritiske nationale infrastruktursektorer lige fra kemikalier til dæmninger og finansielle tjenester. 

NSM-22 kræver minimumskrav til sikkerhed og modstandsdygtighed på tværs af kritiske infrastruktursektorer. Det sætter Department of Homeland Security (DHS) helt i førersædet for at lede regeringens indsats for at beskytte CNI, og udnævner dets Cybersecurity & Infrastructure Security Agency (CISA) til National Coordinator for Security and Resilience. Som en del af denne strategi skal Secretary of Homeland Security indsende en toårig national risikostyringsplan til præsidenten. 

Junivejledningen repræsenterer DHS's plan for denne første toårige cyklus. Secretary of Homeland Security Alejandro N. Mayorkas skitserede strategisk vejledning og nationale prioriteter for de næste to år for kritisk infrastruktursikkerhed og modstandsdygtighed.  

Den nye vejledning fokuserer på fem nøgleområder, hvoraf kun nogle blev tangentielt nævnt i NSM-22: 

  • Håndtering af cyber- og andre trusler fra Folkerepublikken Kina 
  • Håndtering af risici og muligheder præsenteret af kunstig intelligens og andre nye teknologier 
  • Identificering og afbødning af sårbarheder i forsyningskæden 
  • Inkorporering af klimarisici i sektorens modstandsdygtighed 
  • Håndtering af kritisk infrastrukturs voksende afhængighed af rumsystemer og aktiver 

Disse områder stemmer overens med voksende bekymringer om trusler mod CNI i den føderale regering. For eksempel i januar, FBI-direktør Christopher Wray vidnede om Repræsentanternes udvalg for det kinesiske kommunistparti, at Kina placerede sig selv for at 'anrette kaos' på det amerikanske CNI. 

DHS-vejledningen tager en samarbejdstilgang. DHS indkalder de agenturer, der er ansvarlige for disse sektorer, for at hjælpe med at træffe beskyttelsesforanstaltninger i disse områder. Det vil også involvere føderale agenturer, ejere og operatører af kritisk infrastruktur og andre regerings- og private interessenter. 

Disse beskyttelsesforanstaltninger dykker ikke ned i specifikke trusler fra teknologi som AI. De afspejler snarere dem, der er skitseret i NSM-22 med henblik på at aktivere interessenter. Den første er at opbygge modstandskraft ved at skabe en infrastruktur, der kan komme sig hurtigt efter angreb. Dette anerkender, at det ikke er nok at hærde infrastrukturen for at stoppe angreb; operatører må antage, at nogle angreb vil lykkes. 

Resiliensforanstaltninger omfatter uat forstå systemafhængigheder og foregribe potentielle kaskadeeffekter fra angreb. Vejledningen opfordrer også til en tværsektoriel analyse af systemiske svagheder, der påpeger, at der er nøgleressourcer, som mange sektorer er afhængige af. Energi er et godt eksempel, da det tjener alle de andre sektorers behov. NSM-22 havde allerede bedt CISA om at oprette en liste over systemisk vigtige enheder - dominobrikker, der, hvis de væltes, også kunne få andre til at styrte ned. 

Hver sektors agentur skal etablere obligatoriske basislinjekrav til modstandsdygtighed, ideelt set ved at bruge eksisterende offentlige retningslinjer og standarder. Dette er noget, som Center for Cybersikkerhedspolitik og -lovgivning har fremhævet: "det anerkender, at frivillige tilgange til sikkerhed og modstandsdygtighed ikke har været succesfulde nok, og at obligatoriske minimumskrav er nødvendige," siger Ari Schwartz, koordinator ved CCPL. 

En central udfordring her vil være at håndhæve disse krav på tværs af den offentlige sektor. Vejledningen foreslår, at agenturer bruger en blanding af tilskudsbeføjelser og indkøbsbeføjelser for at få disse grundlæggende foranstaltninger til at holde fast. Dette vil også betyde, at man arbejder med tjenesteudbydere (vejledningen kalder specifikt cloud-udbydere) for at sikre, at deres tjenester er sikre ved design. 

Svarene fra i det mindste nogle sektorer på de seneste CNI-beskyttelsesforanstaltninger har været forsigtigt optimistiske. For eksempel, da Det Hvide Hus frigav NSM-22, Association of State Drinking Water Administrators (ASDWA)svarede: "Selvom det er uklart, hvordan den nye NSM vil direkte påvirke de igangværende bestræbelser på at øge modstandsdygtigheden på tværs af vand- og spildevandssektoren, fortsætter ASDWA med at engagere sig med EPA og sektorpartnere for at støtte statslige og føderale aktiviteter for at imødegå alle farer, inklusive de seneste bestræbelser at etablere en Cybersecurity Task Force for Water for at imødegå de voksende cybertrusler, der udfordrer sektoren." 

DHS-vejledningen tilføjede ikke en stor del til det eksisterende memorandum ud over at præcisere specifikke fokusområder, der er blevet meget diskuteret i forskellige bekendtgørelser og cybersikkerhedsstrategier. Det er dog ikke det eneste dokument, som CISA har offentliggjort om infrastrukturresiliens. I marts 2024 udgav den en Infrastructure Resilience Planning Framework (IRPF) at hjælpe interessenter med at planlægge mere robust infrastruktur, der er mere modstandsdygtig over for angreb. Det udgav for nylig en spillebog til ledsage denne ramme. Arbejdet som dette for at skærpe den operationelle modstandskraft er i gang og vil kulminere i en national plan for infrastrukturbeskyttelse for 2025. Dette vil erstatte en 2013-plan, der afspejler regeringens opdaterede CNI-resiliensmål. Det er godt at vide, at CISA har øje på prisen. 

Forfatter

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Se alle indlæg af Danny Bradbury

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!