Embora haja uma “mudança de atitude” para garantir a tecnologia operacional (OT) que sustenta a infraestrutura crítica, como fábricas ou serviços públicos, o governo federal ainda está enfrentando desafios para concentrar esforços em operadoras menores que lutam com recursos limitados e garantir que Os investimentos em OT feitos hoje vêm com segurança integrada.
O governo Biden liderou várias iniciativas no ano passado com o objetivo de tornar os sistemas de controle industrial (ICS) mais seguros, incluindo um Memorando de Segurança Nacional aprovado em julho passado que orientou a Agência de Segurança Cibernética e Infraestrutura (CISA) a trabalhar com o Instituto Nacional de Padrões e Tecnologia (NIST) para desenvolver um conjunto de metas de desempenho de segurança para setores de infraestrutura crítica. mas em audiência na quinta-feira Intitulado “Construindo em nossa linha de base: protegendo sistemas de controle industrial contra ataques cibernéticos”, funcionários do governo discutiram outras melhorias de segurança necessárias no nível do solo para proteger ambientes de infraestrutura crítica e o desafio particularmente complexo de incorporar a segurança no projeto de sistemas OT.
“Esta é uma questão sobre a qual nós, legisladores e autoridades federais, não gastamos tempo suficiente falando, trabalhando ou financiando”, disse Yvette Clarke (D-NY), presidente do Subcomitê de Inovação de Segurança Cibernética, Proteção de Infraestrutura e Segurança. “Contamos com sistemas de controle industrial e outras tecnologias operacionais, ou OT, para garantir que tenhamos eletricidade em nossas casas, água potável e inúmeras outras funções e serviços essenciais para nossa saúde, segurança e subsistência. No entanto, as perguntas sobre como protegemos esses sistemas críticos de TO tendem a ficar em segundo plano em relação à segurança de TI tradicional.”
A CISA liderou muitos dos esforços de segurança de infraestrutura crítica em nível federal e, em abril, expandiu a Joint Cyber Defense Collaborative (JCDC) – uma agência que desenvolve planos de defesa cibernética com entidades públicas e privadas – para se concentrar na segurança do ICS para se concentrar procurando novos parceiros. A agência também vem trabalhando para completar as metas de desempenho exigidas pelo National Security Memorandum, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética da CISA, durante a audiência. Essas metas se expandem no NIST Cybersecurity Framework existente, um padrão para criar e avaliar programas de segurança cibernética, identificando controles significativos de sistemas de TI e OT “com valor conhecido de mitigação de risco aplicável em todos os setores”, disse ele.
“Precisamos encontrar maneiras de educar aqueles que projetam e constroem sistemas e os componentes desses sistemas que este trabalho está sendo feito com a segurança cibernética em mente para que possa ser defendida”.
Apesar desses esforços, Clarke e outros reiteraram a necessidade, enfatizada anteriormente pelo governo Biden, de mais colaboração entre agências federais e operadores de infraestrutura crítica para proteger melhor setores como rede elétrica, água, gás e muito mais.
“Eu vejo esses padrões fundamentais como uma promessa real de transformar o cenário de segurança de OT – mas eles só serão tão eficazes quanto a capacidade da CISA de envolver e integrar o feedback que ouvirem das partes interessadas”, disse Clarke.
Quando perguntado sobre como a CISA se comunica com organizações e serviços públicos menores, Goldstein disse que a CISA expandiu seus escritórios regionais para trabalhar melhor com organizações e serviços públicos locais de infraestrutura crítica, mas reconheceu que atualmente é “assimétrico entre os setores”.
“Existem alguns setores, como o setor de energia, onde há muitas cooperativas de eletricidade ou concessionárias municipais menores”, disse Goldstein. “Acho que o trabalho da CISA em conjunto com o Departamento de Energia foi importante para entender os riscos e controles. Quando olhamos para outros setores, por exemplo, os milhares e milhares de pequenas concessionárias de água neste país, precisamos trabalhar para garantir a identificação de todas as oportunidades possíveis de comunicação e colaboração.”
Embora os ataques de alto perfil em infraestrutura crítica, como o hack do Colonial Pipeline, sejam recentes, os desafios de segurança no espaço de OT têm sido discutidos há muito tempo. Os dispositivos OT são fundamentalmente diferentes dos dispositivos de TI, e isso afeta como e em que nível eles são protegidos. Embora a TI seja gerenciada ativamente, facilitando a instalação de patches de rotina necessários para corrigir vulnerabilidades críticas de segurança, por exemplo, a natureza crítica dos dispositivos OT significa que seu tempo de inatividade tem um impacto muito maior e torna qualquer tipo de atualização ou substituição mais complicada.
Vergle Gipson, consultor sênior do Laboratório Nacional de Idaho, disse que há outros problemas de design que complicam a segurança e o gerenciamento de equipamentos de TO. Por exemplo, enquanto o ciclo de atualização da infraestrutura de TI exige que os dispositivos sejam atualizados a cada poucos anos, o OT é projetado há décadas e muitos dispositivos foram construídos há pelo menos 20 anos, bem antes de discutir a necessidade de fortes defesas de segurança cibernética. O treinamento daqueles que estão construindo e projetando esses sistemas é uma oportunidade importante para fortalecer a segurança, disse ele.
“Esta é uma grande oportunidade para nós nos EUA – grande parte da infraestrutura existente simplesmente não é segura do ponto de vista cibernético e, à medida que atualizamos e substituímos a infraestrutura, é o momento perfeito para tornar essa infraestrutura cibernética, defensável e fase de projeto é o lugar certo para começar”, disse Gipson. “Precisamos encontrar maneiras de educar aqueles que projetam e constroem sistemas e os componentes desses sistemas que este trabalho está sendo feito com a segurança cibernética em mente para que possa ser defendida”.