Kritik Altyapı Güvenliği
Para Eksikliği, Uzmanlık Küçük Altyapı Sağlayıcıları İçin Büyük Zorluklar Yaratıyor
Micheal Novinson (Michael Novinson) •
16 Mayıs 2023
ABD hükümet yetkilileri Salı günü bir kongre gözetim paneline verdiği demeçte, küçük elektrik tesisleri, atık su tesisleri ve hastanelerin yetersiz kaynakları nedeniyle kuruluşlarını yeni ortaya çıkan siber tehditlere karşı savunmakta zorlandığını söyledi.
Ayrıca bakınız: İsteğe Bağlı Panel | Bir Kimlik Krizini Çözmek mi? Dolandırıcılık ve KYC için Yaklaşımlar, Etkiler ve Yenilikler
Çevre Koruma Dairesi’nin Su Altyapısı ve Siber Dayanıklılık başkanı David Travers, 100.000’den biraz daha az içme suyu sistemi ve 16.000 atık su sisteminin Amerika Birleşik Devletleri ve bölgelerine hizmet ettiğini ve müşteri tabanlarının sekiz milyondan fazla ile sadece 500 kişiye kadar değiştiğini söyledi. Bölüm.
Travers, “Su sektöründeki en önemli siber risk, birçok kamu kuruluşunun en iyi uygulamaları benimsemedeki başarısızlığı olmaya devam ediyor” dedi. “Bu kritik güvenlik açıkları, hem çoğu kamu kuruluşunun operasyonlarını korumak için önemli adımlar atmadığını gösteren yakın tarihli bir endüstri araştırmasından hem de en iyi siber güvenlik uygulamalarını uygulamadaki başarısızlığı istismar eden su sistemlerindeki siber olaylardan açıkça görülüyor.”
Travers, Enerji Departmanından Puesh Kumar ve Sağlık ve İnsan Hizmetleri Departmanından Brian Mazanec ile birlikte bir House Energy and Commerce alt komite paneli önünde ifade verdi.
EPA, konu uzmanları siber güvenlik en iyi uygulamalarındaki boşlukları belirleyerek ve kamu hizmeti kuruluşlarının kaynaklarına ve hedeflerine göre uyarlanmış iyileştirme eylemleri uygulayarak yüzlerce küçük su ve atık su sistemine bire bir teknik yardım sağladı. Ajans Mart ayında siber güvenliği periyodik güvenlik değerlendirmelerinde bir faktör olarak değerlendirmeye başlayacağını söyledi (bkz: ABD EPA Siber Güvenlik için Kamu İçme Suyunu Düzenliyor).
Travers, “Bu sistemler, küçük olsalar da, hizmet ettikleri toplulukların yaşayabilirliği için kritik öneme sahiptir.” Dedi. Milletvekillerine, daha büyük sistemlerin özel siber güvenlik personelinden yoksun oldukları için küçüklüklerinin onları daha büyük risk altına soktuğunu söyledi.
EPA, kaynak yoğun müdahaleler önermek yerine güçlü ve benzersiz parolalar gibi en iyi uygulamalara odaklanır. Travers, EPA’nın, genellikle teknik uzmanlık kaynağı olarak hizmet veren Ulusal Kırsal Su Derneği ve Tarım Bakanlığı’nın Kırsal Toplum Yardım Programı gibi üçüncü taraflara da ‘eğitici eğitimi’ programları sunduğunu söyledi.
Siber Güvenlik, Enerji Güvenliği ve Acil Müdahale Ofisi direktörü Kumar, Enerji Departmanının daha küçük kamu kuruluşlarına hem mevcut siber durumlarını ölçmelerine hem de yatırım kararları vermelerine yardımcı olan araçlar sağladığını söyledi. Bakanlığın kırsal ve belediye kamu hizmeti hibe programı, ülke çapındaki kırsal kooperatiflere ve atık tesislerine siber güvenlik teknik yardımı ve finansman hakkı sağlıyor.
Küçük Hastanelerde Olaylar Neden Daha Şiddetli?
Hazırlık Dairesi müdür yardımcısı Mazanec, Sağlık ve İnsan Hizmetleri Departmanının küçük, orta ve büyük hastane sistemleri için küçük hastanelerin olduğu gibi kullanabileceği kullanıma hazır kaynaklara sahip ayrı sektör en iyi uygulama setleri geliştirdiğini söyledi.
Mazanec, “Odak noktamız, birden fazla hastanenin olmadığı ve ihtiyaç duyulduğunda yön değiştirme yeteneğinin daha az olduğu bir bölgede yer alan daha küçük, kırsal hastaneler için güvenlik ve sağlık etkileridir.” dedi. “Bazı açılardan, hedeflerini sağlamlaştırmak için daha az kaynağa sahip olmalarına ek olarak, bu durum olayları meydana geldiklerinde daha da şiddetli hale getirebilir.”
Mazanec, bu çatallaşmaya yanıt olarak, HHS’nin daha küçük, daha az kaynağa sahip hastanelerin altyapılarını sağlamlaştırmasını daha kolay ve daha verimli hale getirecek özel kaynaklar geliştirdiğini söyledi. Ajans, kullanıma hazır araçlara ek olarak, yerleşik siber uzmanları olmayan küçük kurumlara yardımcı olmak için “talep üzerine” bir dizi kurs sunuyor ve gelecekteki revizyonları yönlendirmek için mevcut araçların nasıl kullanıldığına dair veri toplayacak.
Mazanec, “Sektörle yakın ilişki kuruyoruz, onlarla koordineli çalışıyoruz ve özel araçlar geliştiriyoruz” dedi. “Ayrıca bu nedenle faaliyetimizi artırmamız gerektiğini düşünüyoruz. Tehdit büyüyor.”