İhlal Bildirimi, Kritik Altyapı Güvenliği, Uç Nokta Güvenliği
Kritik Altyapı Firmaları Zorunlu Fidye Yazılımı Raporlama Kurallarına Karşı Dikkatli
Jayant Chakravarti (@JayJay_Tech) •
23 Mayıs 2024
Avustralya’nın doğu kıyısındaki elektrik sağlayıcısı Ausgrid, büyük bir siber güvenlik olayının altyapısının tamamen kapanmasına neden olması ve insanların geçimini kesintiye uğratması durumunda günde 2 milyar ABD dolarına kadar kaybedebileceğini söyledi.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Kısmen New South Wales hükümetine ait olan elektrik dağıtım şirketi, hizmetlerine güvenen hanelerin, kuruluşların ve işletmelerin hacmi göz önüne alındığında, ağına yapılacak kısa ama başarılı bir siber saldırının bile Avustralya ekonomisi üzerinde kademeli bir etki yaratabileceğini söyledi. Bütün zamanlar.
Elektrik dağıtıcısı, Sidney, Central Coast ve New South Wales, Avustralya’nın Hunter bölgelerinde milyonlarca insana elektrik sağlayan elektrik ağlarının bakımını ve işletimini sağlar ve elektrik sağlar. Şirketin hizmetlerine güvenen kuruluşlar arasında 105 hastane, dört büyük üniversite, Avustralya’nın tek radyofarmasötik üretim tesisi, üç büyük liman ve Avustralya’nın finansal hizmetler sektörünün %37’si yer alıyor.
Ausgrid’in ağ stratejisi başkanı Murray Chandler, “Bu, ağımıza yapılacak birkaç saatlik bir siber saldırının, hayatları ve geçim kaynaklarını ciddi şekilde bozacağı anlamına geliyor” dedi. “Olası en kötü durumda, altyapımızın tamamen kapatılmasının ekonomik etkisi saatte 120 milyon dolara veya günde 2,9 milyar doların üzerine çıkabilir.”
Ausgrid’in İçişleri Bakanlığı tarafından yayınlanan endişe verici yorumları, Avustralya hükümetinin bu on yılın sonuna kadar ülkeyi “siber güvenlikte dünya lideri” yapmayı amaçlayan 587 milyon Avustralya Doları tutarındaki iddialı siber güvenlik stratejisine yanıt olarak geldi (bkz: Avustralya AU’yu Açıkladı) Siber Suçları Yenmeye Yönelik 587 Milyon Dolarlık Strateji).
Önerilen strateji aracılığıyla hükümet, işletmelerin siber olayları raporlamasını ve bu olaylardan kurtulmasını kolaylaştırmayı, diğer kritik altyapı sektörleriyle uyumlu olarak telekomünikasyon sektörüne yeni olay raporlama gereklilikleri getirmeyi ve Nesnelerin İnterneti ve akıllı cihaz üreticilerine zorunlu siber güvenlik standartlarını uygulamayı amaçlıyor. .
Ausgrid, bileşen üreticileri, derleyiciler ve ürün satıcıları da dahil olmak üzere akıllı cihaz tedarik zincirinin tamamında zorunlu bir siber güvenlik standardının uygulanmasının önemini vurguladı. Chandler, “Bu yükümlülükler, kapsamlı bir düzenleme yükü getirmeden, belirli bir zaman çizelgesinde sürekli iyileştirmeyi sağlamak için kademeli olarak artmalıdır” dedi.
Ancak şirket, endüstriyel ağlara bağlı cihazların çok çeşitliliğini ve bunların benzersiz uygulamalarını göz önünde bulundurarak, endüstriyel akıllı cihazlara kapsamlı bir siber güvenlik standardı uygulanmasına karşı uyardı. Düzenleyicilerin, IIoT cihazlarını tanımlamak için risk bazlı bir değerlendirme yapmaları ve ayrıca Kritik Altyapı Risk Yönetimi Programı ile uyumlu ayrıntılı bir risk değerlendirme sürecinden geçmeleri durumunda belirli cihazların standarda uyumdan muaf tutulması için yer açmaları gerekmektedir.
Düzenleyiciler ayrıca uygulamaların denemelerle, bağımsız projelerle veya izole sistemlerle sınırlı olduğu IIoT cihazlarına da muafiyet sağlayabilir; kritik varlık süreçlerini etkilemez; uygun maliyetlidir, verimliliği artırır; Ausgrid, ya da yalnızca kuruluşun modern teknolojiyi zamanında benimsemesine yardımcı olmak için gerekli olduğunu söyledi.
“Ausgrid, endüstrinin akıllı cihazlara yönelik yeni siber güvenlik gereksinimlerine uyum sağlaması için beş yıllık bir zaman diliminin yeterli olduğunu tavsiye ediyor. Bu, bu tür teknolojiler ve cihazların yaşam döngüsü göz önüne alındığında makul bir zaman dilimidir” diye ekledi.
Kritik Altyapı Firmaları Fidye Yazılımı Raporlama Kurallarına Karşı Dikkatli
Hükümetin önerdiği siber güvenlik stratejisi aynı zamanda kuruluşlara “kusur yok, sorumluluk yok” fidye yazılımı raporlama zorunluluğu getirerek işletmelere, düzenleyici para cezaları veya kovuşturma olasılığıyla karşılaşmadan önemli fidye yazılımı saldırılarını ifşa etme fırsatı veriyor.
Hareketi memnuniyetle karşılayan Ausgrid, hatasızlık ve sorumluluk yok ilkelerinin ileriye yönelik bir yol olduğunu ancak hükümetin, her saldırının karmaşıklığına bağlı olacağını göz önünde bulundurarak fidye yazılımı saldırılarının ayrıntılı raporlanması için bir zaman çerçevesi dayatmaması gerektiğini söyledi. Hükümetin etkilenen kuruluşların 72 saat içinde bir ön rapor sunmasını talep edebilmesi tavsiye edildi.
Eylül 2022’de 10 milyona kadar mevcut ve eski müşterinin kişisel bilgilerinin tehlikeye atıldığı önemli bir siber saldırıya uğrayan Avustralyalı telekomünikasyon devi Optus, hükümetin soruşturma aşamasında şirketlerin siber saldırıları raporlamasını sağlama hamlesini ciddi şekilde eleştirdi.
Hükümetin önerdiği siber güvenlik stratejisine yanıt olarak telekomünikasyon şirketi, kritik bir altyapı kuruluşunun ilk ve en önemli önceliğinin bir olaya etkili bir şekilde müdahale etmek olduğunu ve olay bilgilerinin düzenleyicilerle paylaşılmasına kıyasla zaman açısından daha kritik olduğunu söyledi.
Optus, “Bir yandan olayı yönetirken aynı zamanda düzenleyici kurumlardan çok sayıda bilgi talebi almak, kuruluşa gereksiz ve ters etki yaratan bir yük getirmektedir.” dedi. “Bir benzetme yapmak gerekirse, bu, itfaiyecilerden yangınla mücadele prosedürlerini açıklamalarını ve bir orman yangınını söndürmenin ortasındayken yangının nedenini belirlemelerini istemeye benzer.”
“Optus, strateji kapsamındaki bir mevzuat değişikliğinin, kuruluşun yalnızca operasyonel olay müdahalesine odaklanabileceği ve düzenleyici kurumlardan herhangi bir resmi bilgi talebi almayacağı (temel bildirim gerekliliklerinin ötesinde) bir başlangıç dönemine izin verecek şekilde düzenleyici raporlama zaman dilimlerinde bir değişiklik olmasını önermektedir. ).
“Her olaya müdahale süresi farklılık gösterse de yararlı sürenin en az bir ay olması gerektiğini öneriyoruz” dedi.
Büyük bir elektrik ve doğal gaz perakendecisi olan Origin Energy, hükümetin, etkilenen kuruluşların bir siber olayla ilişkili hassas verilerin açığa çıkması nedeniyle haksız kamu incelemesine maruz kalmamasını sağlamak için fidye yazılımı raporlama gereklilikleri konusunda daha fazla netlik sağlaması gerektiğini söyledi.
” [Department of Home Affairs] hassas, ticari veya gizli bilgilerin bu süreç aracılığıyla gerçekten anonim hale getirilip getirilmeyeceğini dikkate almalıdır; Origin, “Fidye yazılımı bilgilerinin yayınlanmasının istenmeyen sonuçların ortaya çıkıp çıkmayacağı” dedi ve şöyle devam etti: “Bu tür olaylar için örneklem boyutunun, bilginin anonimleştirilmesine veya kamuoyunun bilgilendirilmesine izin verecek şekilde yayınlanmasına izin verecek kadar büyük olup olmayacağı açık değil. raporlardan hassas ayrıntılar çıkaramaz veya bu bilgiyi arızayı belirlemek için kullanamaz.”
Enerji şirketi, hükümetin kuruluşlara fidye ödemesi nedeniyle soruşturmayla karşı karşıya kalmayacaklarına dair güvence vermek için “sorumsuzluk” ilkesi konusunda daha fazla netlik sağlaması gerektiğini söyledi.
“Yaptırım rejimine tabi bir ülkeden bir siber suçluya ödeme yapılması gibi bir durum ortaya çıkabilir. Ödemeyi yapan kuruluşun bu rejim kapsamında cezalara veya kovuşturmaya tabi tutulup tutulamayacağı ya da kuruluşların bu rejime karşı korunup korunmayacağı belli değil. Bunun nedeni ‘sorumsuzluk’ ilkesidir” dedi şirket.