Tam zamanında lojistik, kısa vadeli siber saldırıların bile ciddi sonuçlara yol açabileceği anlamına gelir. Gübre veya böcek ilacı üretimini kesintiye uğratan hileler, çiftçileri ekim mevsimlerinde oturmaya zorlayabilir. Et paketleme tesislerindeki ihlaller, istikrarı bozan tedarik kıtlıklarına neden olabilir. Bir gıda işleme firmasında kurcalama, ölümcül kontaminasyona yol açabilir. Sachs’a göre, şirketleri bir haftalığına operasyonlarını durdurmaya zorlayan fidye yazılımı saldırıları okulları şimdiden süt, meyve suyu ve yumurtasız bıraktı.
Cyberspace Solarium Komisyonu’nun yönetici direktörü olarak görev yapan Mark Montgomery, “Bu sektördeki büyük bir aksama, acil halk sağlığı ve güvenliği sorunlarına yol açıyor” diyor.
Sachs, giderek daha savunmasız hale gelmesine rağmen, gıda ve tarım sektörünün ve finansal hizmetler ve enerji gibi daha yüksek profilli sektörlerin hala “tehdit zihniyetini gerçekten anlamadığını” söylüyor.
Kritik İşletmeler, Sınırlı Destek
Bugün gıda ve tarım, barajlar, hükümet tesisleri ve nükleer reaktörler ve malzemelerle birlikte ISAC’ı olmayan dört kritik altyapı sektöründen (16 sektör içinde) biridir.
Gıda ve tarım sektörü 2002’de böyle bir merkezi ilk açanlardan biriydi, ancak 2008’de çok az şirket aracılığıyla bilgi paylaşımında bulunduğu için dağıldı. Üyeler, bu tür bir açıklığın rekabet avantajlarını tehlikeye atacağından ve onları düzenleyici eylemlere maruz bırakacağından korkuyordu. Şimdi, diyor Sachs, işletmeler, bu tür bir işbirliği yasal olsa bile, birbirleriyle bilgi alışverişinin antitröst davalarına yol açabileceğinden endişe ediyorlar.
Bazı şirketler, IT-ISAC içinde barındırılan bir Gıda ve Tarım Özel İlgi Grubuna (SIG) katılır; bu, onlara dünyanın en büyük teknoloji şirketlerinden bazılarının veri ve analizlerinin yanı sıra belirli hacker gruplarıyla yüzleşmek için oyun kitapları gibi kaynaklara erişim sağlar.
IT-ISAC yönetici direktörü Scott Algeier, “Sektörle olan çalışmalarımız son üç yılda gerçekten genişledi” diyor. Aynı dönemde IT-ISAC, gıda ve tarım sektörüne yönelik 300 fidye yazılımı saldırısı kaydetti.
Ancak Sachs, SIG’nin tekliflerinin sınırlı olduğunu savunuyor. Gıda ve tarım firmalarına yönelik saldırıları simüle eden düzenli büyük ölçekli tatbikatlar düzenlemiyor, bu firmaların altyapısını (şiddetli hava ve tedarik zinciri kesintileri gibi ilgili olaylarla birlikte) sürekli izleyen 7/24 bir izleme merkezi görevlendirmiyor ve sınıflandırılmış devlet istihbaratını bu altyapı içindeki sensörlerden gelen verilerle karşılaştırarak otomatik olarak içgörüler ve uyarılar üretemez. Sachs, “Scott’ın orada yaptığı her şeyi takdir ediyorum” diyor. “Bu çok iyi bir şey. Ama bu bir ISAC değil.”
Algeier, IT-ISAC’ın gıda ve tarım sektörüne odaklanan tatbikatlara ev sahipliği yaptığını ve “gerekirse üyelerin bize 7/24 ulaşabileceğini” söylüyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatında (CISA) altyapı güvenliğinden sorumlu eski müdür yardımcısı Brian Harrell, sektörün “tehdidi analiz edebilen ve gerçek bir operasyonel değerlendirme sağlayabilen” kendi ISAC’ına ihtiyacı olduğunu söylüyor.
Pfluger, “Konuştuğum pek çok kişi özel bir ISAC olması gerektiğini düşünüyor” diyor.
Şirketlerin ayrıca federal hükümetten daha fazla desteğe ihtiyacı var.
Montgomery, endüstrinin sektör risk yönetimi ajansı olan ABD Tarım Bakanlığı’nın diğer SRMA’lardan “önemli ölçüde daha az etkili” olduğunu söylüyor. USDA’nın, yılda iki kez sektör çapında toplantılar, haftalık tehdit bültenleri ve ara sıra belediye binalarını içeren güvenlik desteği için özel bir finansmanı bile yok.