カジノルーレットサイト
全体像の欠如: EPA の検査要件と上下水道部門におけるサイバーセキュリティの現実
バイデン政権の釈放直後国家サイバーセキュリティ戦略、米国環境保護庁 (EPA) は、米国の各州がサイバーセキュリティの回復力を高めるために上下水道システムの検査を実施すること。
EPA2023 年 3 月 3 日に発表された法律では、定期的な衛生調査の一環として、州は公共水道システム (PWS) 周辺の運用技術 (OT) の評価を実行する必要があると定めています。衛生調査は EPA によって「安全な飲料水の製造と配給のための水源、施設、設備、運用、保守の適切性を評価する目的で、PWS の水源、施設、設備、運用、保守を現地で調査すること」と定義されています。
EPA が提供これらの評価を実行する方法に関して州が持つオプションについて、環境の評価を実行する方法について。
「飲料水システムを含む重要なインフラ施設に対するサイバー攻撃が増加しており、公共水道システムは脆弱になっている」とEPAの水道担当次長ラディカ・フォックス氏は、同庁のメモに関する声明の中で述べた。 「サイバー攻撃は飲料水を汚染する可能性があり、公衆衛生を脅かします。EPAは、州に地方水道システムのサイバーセキュリティ慣行の監査を義務付けるこの覚書を発行することで、公共水道システムを保護するための措置を講じています。」
チャレンジの範囲
評価対象のサイバーセキュリティ実践に関するガイダンスとして EPA によって提供された文書は、現代のサイバーセキュリティ専門家にとっては単純に見えるかもしれません。ただし、これらの要件と管理の多くは、公共水道部門の一部にとっては新しいものである可能性があります。サイバーセキュリティは依然として斬新なコンセプトこれらの環境の多くでは、にもかかわらずサイバー攻撃の増加そしてこの分野でのランサムウェア事件。多くの公共水道システムは、OT 分野のサイバーセキュリティ要件を満たすために IT プログラムに依存しています。ただし、その方法に関するベスト プラクティスとガイダンスこれらのシステムを保護する標準的な企業 IT 環境のベスト プラクティスとは大きく異なります。
米国の水道システムを管理する OT の多くは、インターネットに接続することを意図したものではありませんでした。このテクノロジーの一部は 30 年以上前のものであるため、多要素認証、パッチ管理スケジュール、その他の主要な制御などのセキュリティ慣行を強制することが困難です。しかし、つい最近 10 年前にも、公共事業の料金は急激に上昇しました。実装の増加業務効率を向上させるインターネット接続テクノロジー。モバイル テクノロジー、スマートフォン、タブレット、小型ラップトップの携帯性の進歩により、電力会社はシステムをリモートで監視し、スタッフをより効率的に配置できるようになりました。これらのテクノロジーが実装された時点では、産業用ネットワークに対するサイバー攻撃は事実上存在していませんでした。そのため、実装には、電力会社の制御システムへの便利なアクセスを提供する低コストのテクノロジーが含まれることがよくありました。
さらに、多くの公共水道システムは小規模自治体であり、リソースが限られた IT 部門にネットワークとシステムの管理を依存しています。これは、EPAが検査で求めている堅牢なプログラムに必要なソリューションを構築するための重要な理解とスキルセットが不足している可能性があることを意味します。
そして、これらの新しい要件では、スキルセットが全般的な懸念事項となるでしょう。米国水道協会 (AWWA) は 4,300 以上の公共事業体を代表し、水道コミュニティを代表する約 50,000 人の会員を擁しています。 を送信しました2023 年 1 月、政権に対し覚書を撤回するよう求めた。 AWWA の書簡では、サイバーセキュリティはこの分野での重要なニーズである一方、衛生調査プログラムのサイバーセキュリティ要件は「無謀で非現実的であり、システムの回復力を有意義に改善するように設計されていない」と主張しています。
協会はまた、EPAが要件を課す場合には他の前提条件を満たし、司法審査の対象となる必要があることなど、メモの公表における法的欠陥も強調した。 AWWAはまた、衛生調査検査官がサイバーセキュリティ審査を行うのに適しているかについても懸念していると述べた。サイバーセキュリティのベストプラクティスを真に理解し、この分野のギャップについて報告できるようになるには、6 時間以上のトレーニングが必要だと AWWA は述べています。
さらに、水道システムにはすでに評価要件が提供されています。3,300 人以上にサービスを提供する地域の飲料水システムに対して、5 年ごとにサイバーセキュリティ リスク評価を義務付けています。
評価要件により、一部の電力会社はサイバーセキュリティ体制に関する認識を高め、セキュリティ慣行の改善を実施するための資本計画を策定するようになりましたが、その適用は限定的であるため、事実上、チェック項目をチェックするだけの作業となっています。
結局のところ、公共水道システムには、最も基本的なサイバー衛生対策さえも実施するための支援が必要です。バイデン政権は2022年にサイバーセキュリティ向上のため州および地方の補助金として10億ドルを提供したが、小規模な自治体や地方自治体にはこの資金を最も必要とする地域にもたらす補助金申請書を作成するのに必要なスタッフがいない。さらに、ボランティア活動や助成金の経歴を持つ評議会メンバーによって助成金を作成する能力があったとしても、サイバーセキュリティの実装に必要な人員配置、教育要件、およびテクノロジー自体は、ほとんどの組織にとって法外な費用となる可能性があります。
OT ネットワークと IT ネットワークを物理的に分離し、OT ネットワークへのリモート アクセスをうまくロックダウンするなど、サイバーセキュリティ環境の大規模な見直しには、補助金から得られる以上の費用がかかる可能性が高く、資本改善計画に追加する必要があることを意味します。多くの公益事業が時代遅れのテクノロジーに依存しているため、水を処理および処理する実際のシステムの改善において、サイバーセキュリティは大幅に後回しになるでしょう。
業界内では、「ここではそんなことは起こらない」、あるいは既存の対策で「十分だ」という考えが広まっています。
たとえば、最新の安全なリモート アクセスは利便性が低く (複数レベルの認証が必要)、実装と維持に確実にコストがかかるため、多くの電力会社は、既存のテクノロジーが提供する効率が必要な投資に見合うかどうかの判断に直面しています。これにより、多くのユーティリティが使用される可能性があります自社のシステムは、ポリシー、セキュリティ管理、およびパッチ適用プログラムは必要ないという誤ったセキュリティ感を与える危険性があります。
新たなリスクへの対処
水道分野でのランサムウェア事件や侵害を見ると、誰もが影響を受けやすいということを受け入れる時期は過ぎています。産業用サイバーセキュリティ企業 Dragos は最近、 の検出を報告しました。、ランサムウェア直接産業用制御システム (ICS) デバイスをターゲットとする、これは、攻撃者が水を含む OT 空間をターゲットにする傾向が高まっていることを示唆しています。
上下水道分野におけるサイバーセキュリティの改善を成功させるために本当に必要なのは、官民パートナーシップへのさらなる取り組みです。 のような組織と、重要なサイバーセキュリティのトピックに関する意識と教育がこの分野で高まっていますが、誰もが依存している重要な水供給を保護するには技術的なパートナーシップが必要です。
ドラゴスは、を確立することでこの分野に波を起こしました。、ICS/OT コミュニティに無料のサイバーセキュリティ リソースを提供するプログラム。このプログラムは、主要なサイバーセキュリティ ツールや人員を確保できない可能性がある小規模自治体および州システムを対象としています。これには、小規模組織のメンバー向けの無料の Dragos 監視センサーが含まれており、他の多くの利点があります。米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁 (CISA) にも、次のリソースがあります。しかし、これらの関係者が手頃な価格のソリューションを確実に利用できるようにするには、サイバーセキュリティ分野のリーダーがさらに多くのことを必要としています。
ICS 専門家の教育と、新しい OT デバイスに組み込まれたサイバーセキュリティの改善への取り組みが、この分野を改善するために不可欠です。現在、OT サイバーセキュリティに関する最小限の認定トレーニング プログラムは次のとおりです。または。これらのプログラムは、メンバーシップ、トレーニング、継続教育の要件により、法外な費用がかかる場合があります。従来、ほとんどの OT 専門家は、サイバーセキュリティやネットワーク エンジニアリングの背景を持つのではなく、電気工学に焦点を当てた分野で学位とトレーニングを取得しています。これは大きな課題です。サイバーセキュリティ専門家の領域にはすでに大きなギャップがありますが、成熟した IT サイバーセキュリティ プログラムしか見たことがなく、リンゴとリンゴのアプローチを期待している個人にとって、OT に対する独自の理解はさらに稀であり、困難です。
環境の成熟化
補助金、パートナーシップ、技術が整備されている場合、利害関係者にとっての最後のハードルは、検査が単なるチェック項目ではないことを確認することです。多くの場合、企業の IT においてさえ、検査、監査、その他のコンプライアンス チェックがまさにこれに当てはまります。検査の要件は満たしていますが、依然として脆弱性があり、侵害される可能性があり、問題を引き起こす可能性があります。.
理想的な状況では、査察はサイバー環境を進歩させ、成熟させる機会を生み出すだろう。また、これらの検査の結果に関する説明責任や、これらの重要なシステムを保護するための主要な影響分野の改善要件も発生します。むしろ、サイバー環境を進歩させ、成熟させる機会となる必要があります。
EPA の検査要件は正しい方向への良い一歩ですが、それが真に成功するためには他にも多くの要素を導入する必要があります。この取り組みが成功するか、それとも結果がそのままのフォルダーにある別の Excel スプレッドシートに保存されるかは、時間が経てばわかります。
Mea Clift、CISSP、PMP、CRISC、CISA、CISM、FAIR は、Woodard & Curran のサイバーセキュリティ プログラム マネージャーです。情報技術分野で 25 年の経験を持つ Clift は、サイバーセキュリティとリスク管理に関して豊富な経験を持っています。デスクトップのサポートから始まり、サーバー、次にマネージド サービス、クラウド サービスに移り、最後にサイバーセキュリティとリスク管理に焦点を当てました。クリフトさんの IT 経験は、サイバーセキュリティに対する独自の視点を与え、サイバーセキュリティ管理の全領域とライフサイクルを把握できるようになりました。次世代のサイバー専門家を支援することに情熱を注ぐクリフトは、サイバー リスクのトピックについて記事を執筆し、プレゼンテーションを行い、サイバーシティと ISACA のメンターとしても活動しています。
Tim Maynard、GICSP、PE は、Woodard & Curran の上級技術マネージャーです。彼は、工業、製造、地方自治体の水道市場における制御システムの設計、プログラミング、実装に 20 年の経験があります。ネットワーク エンジニアリング テクノロジがオートメーションおよび制御システム内でより普及するにつれて、メイナードは運用テクノロジのサイバーセキュリティ ソリューションのアーキテクチャと実装のリーダーになりました。彼は、ACE、NEWEA、NEWWA などのいくつかの会議で、地方自治体の水道システムのサイバーセキュリティのベスト プラクティスについて発表してきました。
