0
0
Estimulado por ataques cibernéticos de alto risco e subsequente cobertura da grande imprensa, o governo federal está se movendo em direção a novos requisitos para segurança cibernética de infraestrutura crítica.
Um memorando (PDF) do Office of Management and Budget (OMB) de julho pediu que as agências de todo o governo federal estabeleçam “padrões de desempenho” específicos de segurança cibernética para seus respectivos setores – e, ainda mais significativamente, orçamente para “revisão e avaliação” da agência federal de planos de proteção cibernética preparados por organizações obrigadas a atender a esses novos padrões.
Necessário: Revisão Federal e Avaliação de Planos
Esse nível de supervisão direta estende a abordagem que hoje é aplicada apenas à infraestrutura nacional mais crítica – notadamente a rede elétrica (regulada pelo Departamento de Energia, a Federal Energy Reliability Commission e a North Amerian Reliability Corp.) pipelines (Departamento de Segurança Interna e Administração de Segurança de Transportes) — em toda a gama de indústrias dos EUA nas quais as pessoas confiam, incluindo varejo, produtos farmacêuticos, produtos químicos, transporte e distribuição, alimentos e bebidas e muitos outros.
Um setor que provavelmente sentirá fortemente essa atividade regulatória e verá mudanças substanciais como resultado, é o setor de água. Altamente vulneráveis a ataques cibernéticos, as concessionárias de água precisam urgentemente de padrões de segurança atualizados – e aplicados. De fato, o governo Biden sugeriu recentemente que a Agência de Proteção Ambiental (EPA) deve emitir uma nova regra que incluiria segurança cibernética nas revisões de saneamento das instalações de água do país – apoiando ainda mais padrões mais altos quando se trata de segurança cibernética .
As apostas são altas: um típico sistema municipal de processamento de água filtra 16 milhões de galões de água por dia, e um hacker bem-sucedido pode contaminar todo o abastecimento de água da comunidade. Este não é um medo hipotético – um grupo de hackers recentemente conseguiu se infiltrar em um sistema de tratamento de água em Oldsmar, Flórida. Ao mexer com a quantidade de lixívia na água, eles colocam uma cidade inteira em risco. E recentemente, a gangue do ransomware Clop atacou a concessionária de água South Staffordshire , no Reino Unido. Embora esses ataques nem sempre sejam bem-sucedidos, a gravidade dos riscos ficou bastante clara.
Apesar das tentativas anteriores de melhorar os padrões de segurança para o setor de água, ele continua vulnerável. Mesmo a Lei de Infraestrutura Hídrica da América de 2018 (AWIA), que afirmou que as concessionárias de água devem desenvolver planos de resposta a emergências que abordem ameaças à segurança cibernética como parte de um esforço mais amplo para melhorar a infraestrutura e a qualidade gerais , não mudou significativamente a postura de segurança cibernética para o setor. O setor abrange 50.000 concessionárias separadas nos Estados Unidos, a maioria das quais são pequenas e administradas por municípios; essa fragmentação, juntamente com a relutância geral dos operadores em abandonar as práticas existentes, permitiu que o ímpeto de mudança se esgotasse.
Mas o precedente nos diz que, quando bem feito, os regulamentos federais podem fazer a diferença. Já estamos vendo progresso em outro setor de infraestrutura crítica vulnerável: petróleo e gás. Após o hack de alto perfil do Colonial Pipeline em 2021, a Administração de Segurança de Transporte (TSA) do Departamento de Segurança Interna lançou rapidamente duas Diretivas de Segurança , com uma atualização em 2022, dobrando seus esforços para garantir uma melhor proteção para a infraestrutura de energia em todo o país. Essas diretivas enfatizavam o gerenciamento de credenciais e o controle de acesso, duas coisas que teriam ajudado a bloquear o ataque de ransomware em primeiro lugar.
Apesar da resistência inicial dos proprietários e operadores de dutos, esses requisitos TSA inéditos já estão levando todo o setor a um ambiente mais protegido. Os operadores agora estão se apoiando em medidas de segurança centradas na proatividade e na prevenção de ataques.
Apelo à prevenção de ataques leva a mais proteção
A principal diferença aqui é que as diretrizes da TSA exigem planos de implementação para proteção cibernética , não apenas para detecção e resposta a incidentes. Uma vez que os operadores foram obrigados a se proteger , não apenas responder aos eventos após o fato – e uma vez que o governo federal estava revisando seus planos de proteção cibernética – o setor de petróleo e gás começou a se mover a sério.
E agora, com a orientação do OMB às agências, a mesma supervisão direta da proteção cibernética também chegará a outros setores, incluindo água. Em outras palavras, o movimento no setor de petróleo e gás é uma dica do que está por vir para outras infraestruturas críticas.
O hack do Oldsmar de 2021 mostrou ao mundo o quão fácil – e devastador – pode ser um ataque a uma usina de água. Independentemente das normas históricas do setor, surgiu uma necessidade clara de melhor segurança cibernética e parece que o governo está preparado para avançar de forma mais agressiva do que nunca. Seu amplo esforço para melhorar a segurança da infraestrutura crítica está prestes a ser o catalisador que muitos setores, como o de água, precisam desesperadamente.
Proprietários e operadores de plantas não podem mais ignorar os riscos; regulamentação mais pesada é um “quando”, não um “se”. Agora é a hora de eles buscarem uma segurança cibernética melhor e mais moderna.
FONTE: DARK READING