ABD hükümeti, kritik altyapı operatörlerini felaketlere, fiziksel saldırılara ve siber saldırılara hazırlamak için, gelecekteki aksaklıklardan kurtulma becerisine vurgu yapan bir dizi reçete yayınladı.
“Kalkanlar Hazır” olarak adlandırılan girişim, belirlenen 16 kritik altyapı sektörünü, kaynağı ne olursa olsun herhangi bir kesintiye karşı sistemlerini ve hizmetlerini güçlendirmeye yatırım yapmaya ikna etmeyi amaçlıyor. Hem Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) hem de Federal Acil Durum Yönetim Ajansı (FEMA) tarafından öncülük edilen bu çaba, saldırıların ve felaketlerin gerçekleşeceğini varsayıyor ve kritik altyapı operatörlerini hizmetleri çalışır durumda tutmak için hazırlık yapmaya çağırıyor.
CISA direktörü Jen Easterly, 16 kritik altyapı sektörünün ve bunların bağlı olduğu tedarik zincirinin birbirine bağlılığının, hazırlığın kritik olduğu anlamına geldiğini söyledi.
Bir açıklamasında, “Okullardan hastanelere ve su tesislerine kadar ülkemizin kritik altyapı kuruluşlarının, aksaklıklara müdahale edecek ve bu aksaklıkları atlatacak araç ve kaynaklara sahip olması gerekiyor” dedi. “Olaylara hazırlanmak için bugünden adımlar atarak, kritik altyapılar, topluluklar ve bireyler yarının tehditlerinin etkisinden kurtulmak ve geleceğe daha iyi hazırlanabilirler.”
Kritik altyapılara yönelik tehlikeler, Kaliforniya’daki orman yangınları ve koronavirüs salgını gibi ciddi felaketlerin ve siber saldırıların neden olduğu kesintilerle son yıllarda arttı. Örneğin, son beş yılda ilaç firması Merck, 2017’deki NotPetya siber saldırısı nedeniyle büyük bir kesinti yaşarken, bu yıl rakip Pfizer büyük bir depoya belirli ilaçların tedariğinde aksamalara neden olan bir kasırga saldırısı yaşadı. Ve ünlü bir şekilde, Mayıs 2021’de ABD’li boru hattı operatörü Colonial Pipeline bir fidye yazılımı saldırısına maruz kaldı ve hizmetlerini bir hafta süreyle kapattı, bu da Amerika Birleşik Devletleri’nin güneydoğusu genelinde gaz sıkıntısına yol açtı.
“Kalkan Yükseltme” olarak bilinen önceki bir kampanya, kritik altyapı kuruluşlarını belirli tehdit istihbaratına tepki olarak savunma önlemleri almaya ikna etmeye odaklanıyordu. Siber güvenlik danışmanlığı Critical Insight’ın kurucu ortağı ve CISO’su Michael Hamilton, Shields Ready’nin amacının en kötü duruma hazırlanmak olduğunu söylüyor.
FBI ve CISA’nın endüstriyel kontrol ve kritik altyapı sağlayıcılarına yönelik düzenli uyarılarına işaret ederek, “Buradaki gizli mesaj şu; geliyor ve dünyaya baktığımızda bunu tahmin etmek o kadar da zor değil” diyor. “İkiyle ikiyi bir araya getirip altyapının bozulması nedeniyle tehdit seviyesinin arttığını biliyorsunuz” demek zor değil.”
Kalkanlara Hazır Politika Girişimleri
Girişim için bir sorun, mevcut tavsiyelerin çoğunun gönüllü ve bilgilendirici olmasıdır. Kasım ayının “Kritik Altyapı Güvenliği ve Dayanıklılık Ayı” olarak belirlenmesinden bu yana CISA, kritik altyapı sağlayıcıları için belirli tehditleri, güvenlik zorluklarını ve öz değerlendirme alıştırmalarını kapsayan 15 sayfalık bir belge içeren bir araç seti yayınladı. Ajans ayrıca Altyapı Dayanıklılığı Planlama Çerçevesi’ni (IRPF) yayınladı ve dayanıklı bir tedarik zincirinin nasıl geliştirileceğine ve bir siber saldırıya nasıl yanıt verileceği konusunda kılavuzlar yayınladı.
Operasyonel teknoloji (OT) güvenlik firması Armis’in hükümet işlerinden sorumlu başkan yardımcısı Tom Guarente, yine de bu çabanın düzenleyici dişlerden yoksun olduğunu söylüyor.
“Aslında durumsal farkındalıkla başlayarak dayanıklılık oluşturmak, kamu ve özel sektör kurumları arasında bilgi paylaşımının öneminden bahsetmekle ilgili gibi görünüyor” diyor. “Bir araç seti olduğunu söylüyorlar, ancak araç seti çoğunlukla yönergelerden oluşuyor gibi görünüyor – bilirsiniz, PDF belgelerinden. Yani kısa cevap şu: Shields Ready kampanyasından ne çıkacağını bilmiyorum.”
Ancak OT için siber güvenlik sağlayıcısı Nozomi Networks’ün OT siber güvenlik stratejisti Danielle Jablanski, Shields Ready şemsiyesi altında 16 kritik altyapı sektörünün tamamı için genel yönergeler oluşturmanın muhtemelen imkansız olduğunu, bu nedenle ilk çabalarda ayrıntıların eksik olmasının şaşırtıcı olmadığını söylüyor. ağlar. Her kritik altyapı sektöründe, sektöre özel yönergeler ve gereklilikler oluşturacak bir Sektör Risk Yönetimi Ajansı bulunur – genellikle İç Güvenlik Bakanlığı, ancak bazı durumlarda Enerji, Savunma, Sağlık ve İnsani Hizmetler veya Ulaştırma Bakanlığı belirlenmiş SRMA’dır – .
“Hükümetin bugün daha çok denetim modunda olduğunu düşünüyorum” diyor. “Kritik altyapının yekpare olmadığını, 16 sektörün tamamına aynı şekilde fayda sağlayan herkese uyan tek bir güvenlik planı, programı veya kontrol seti olmadığını hatırlamak önemlidir.”
Kritik Altyapı Güvenliğini Teşvik Etmek: Havuç mu, Sopa mı?
Bu çabalar çoğunlukla sektör yöneticilerini de işin içine katmaya yönelik hafif bir dokunuş gibi görünüyor. Critical Insight’tan Hamilton, güvenliğin bir maliyet merkezi (iş yapmanın vergisi) olmaya devam etmesi nedeniyle şirketlerin doğal olarak bu harcamaları en aza indirmek istediklerini, bu nedenle tavsiyelerin çoğunun uygulanması için cezai yaptırımların gerekli olacağını söylüyor.
Yöneticileri bir felaket veya siber saldırı sırasında şirketlerinin performansından sorumlu tutmanın (SolarWinds’in CISO’suna yöneltilen suçlamalar gibi) endüstri için zaten kaba bir uyanış olduğunu söylüyor.
Hamilton, “Senatörlere, generallere ve valilere brifing verdikten sonra, korkutucu Ruslar, tedarik zincirleri, tampon taşmaları ve SQL enjeksiyonu hakkında istediğiniz kadar konuşabileceğinizi ve gözlerinizi kamaştıracağınızı keşfettim” diyor. “Fakat ‘idari ihmal’ dediğiniz anda karşınıza bir dinleyici kitlesi çıkıyor. Hükümetin yaptığı da tam olarak bu; idari liderliği ihmalkar olarak değerlendirecekler ve bu da herkesin dikkatini çekiyor.”