Federale regering beweeg na die kus van kritieke nasionale veiligheid

Federale regering beweeg om kritieke nasionale veiligheid te bevorder

Deur Danny Bradbury • 23 Julie 2024

Die koloniale pyplyn-aanval in 2021 was 'n keerpunt vir kritieke infrastruktuur in die VSA. jy moet beter glo dat beleidmakers toekyk. Die wedloop was aan die gang om kritieke nasionale infrastruktuur (CNI) te beskerm - die ruggraat van private en openbare sektordienste wat die land aan die gang hou.

Die regering het beweeg om beskerming op federale vlak te versterk, wat gelei het tot 'n strategie wat regulatoriese opdaterings, volle aktivering van ongebruikte owerhede en vrywillige meganismes ingesluit het om CNI te help verhard teen aanvalle. Byvoorbeeld, die Departement van Binnelandse Veiligheid (DHS) gepubliseerde voorskrifte pypleidingsekuriteit te versterk. November 2021 se Wet op Infrastruktuurbelegging en Werkgeleenthede het aansienlike befondsing vir CNI-projekte op plaaslike vlak uitgedeel. Die Wet op kubervoorvalverslagdoening vir kritieke infrastruktuur van 2022 (CIRCIA)gemandateerde CNI-voorvalrapportering.

In April 2024, byna drie jaar na die koloniale aanval, het president Biden pogings soos hierdie opgevolg met die Nasionale Veiligheidsmemorandum (NSM-22) oor kritieke infrastruktuursekuriteit en veerkragtigheid, wat die administrasie se planne om CNI te beskerm in meer besonderhede uiteensit. Hierdie dokument vervang sy voorganger, die Obama-era presidensiële beleidsrichtlijn oor kritieke infrastruktuursekuriteit en veerkragtigheid (PD-21). Dit behou egter steeds baie van PPD-21 se konsepte, insluitend die aanwysing van 16 kritieke nasionale infrastruktuursektore wat wissel van chemikalieë tot damme en finansiële dienste.

NSM-22 vereis minimum sekuriteit en veerkragtigheid vereistes oor kritieke infrastruktuur sektore. Dit plaas die Departement van Binnelandse Veiligheid (DHS) vierkantig in die dryfveer om die regeringspoging te lei om die CNI te beskerm, en noem sy Kuberveiligheids- en Infrastruktuursekuriteitsagentskap (CISA) die Nasionale Koördineerder vir Veiligheid en Veerkragtigheid. As deel van hierdie strategie moet die Sekretaris van Binnelandse Veiligheid 'n tweejaarlikse Nasionale Risikobestuursplan aan die President voorlê.

Die Junie-leiding verteenwoordig die DHS se plan vir hierdie eerste tweejaarlikse siklus. Sekretaris van Binnelandse Veiligheid, Alejandro N. Mayorkas, het strategiese leiding en nasionale prioriteite vir die volgende twee jaar uiteengesit vir kritieke infrastruktuursekuriteit en veerkragpogings.

Die nuwe leiding fokus op vyf sleutelareas, waarvan slegs sommige tangensieel in NSM-22 genoem is:

Die aanspreek van kuber- en ander bedreigings wat deur die Volksrepubliek China ingehou word

Bestuur van risiko's en geleenthede wat deur kunsmatige intelligensie en ander opkomende tegnologieë aangebied word

Identifisering en versagting van voorsieningskettingkwesbaarhede

Inkorporering van klimaatrisiko's in sektorveerkragpogings

Die aanspreek van die groeiende afhanklikheid van kritieke infrastruktuur op ruimtestelsels en bates

Hierdie gebiede strook met toenemende kommer oor bedreigings vir CNI in die federale regering. Byvoorbeeld, in Januarie, FBI direkteur Christopher Wray getuig het die Huis Gekose Komitee oor die Chinese Kommunistiese Party dat China homself posisioneer om 'vernietiging te saai' op Amerikaanse CNI.

Die DHS-leiding neem 'n samewerkende benadering. Die DHS roep die agentskappe wat vir hierdie sektore verantwoordelik is in om te help om beskermende maatreëls in hierdie gebiede te tref. Dit sal ook federale agentskappe, eienaars en operateurs van kritieke infrastruktuur en ander belanghebbendes in die regering en privaatsektor betrek.

Daardie beskermende maatreëls delf nie in spesifieke bedreigings van tegnologie soos KI nie. Hulle weerspieël eerder dié wat in NSM-22 uiteengesit word met die oog op die aktivering van belanghebbendes. Die eerste is om veerkragtigheid te bou deur 'n infrastruktuur te skep wat vinnig van aanvalle kan herstel. Dit erken dat bloot verharding van infrastruktuur om aanvalle te stop nie genoeg is nie; operateurs moet aanvaar dat sommige aanvalle sal slaag.

Veerkragtigheidsmaatreëls sluit in ustelselafhanklikhede te verstaan en potensiële kaskade-effekte van aanvalle te verwag. Die leiding vra ook vir kruissektorontleding van sistemiese swakhede, en wys daarop dat daar sleutelhulpbronne is waarvan baie sektore afhanklik is. Energie is 'n uitstekende voorbeeld, aangesien dit die behoeftes van al die ander sektore dien. NSM-22 het CISA reeds opdrag gegee om 'n lys van sistemies belangrike entiteite te skep - domino's wat, as dit omgeval word, ook ander kan laat ineenstort.

Elke sektor se agentskap moet vestig verpligte basislynveerkragtigheidsvereistes, ideaal deur bestaande regeringsriglyne en -standaarde te gebruik. Dit is iets wat die Sentrum vir Kuberveiligheidsbeleid en -reg uitgelig het: "dit erken dat vrywillige benaderings tot sekuriteit en veerkragtigheid nie suksesvol genoeg was nie, en dat verpligte minimum vereistes nodig is," sê Ari Schwartz, koördineerder by die CCPL.

’n Sleuteluitdaging hier sal wees om hierdie vereistes regoor die openbare sektor af te dwing. Die riglyne stel voor dat agentskappe 'n mengsel van toekennings- en verkrygingsmagte gebruik om hierdie basislynmaatreëls te laat bly. Dit sal ook beteken om met diensverskaffers te werk (die leiding noem spesifiek wolkverskaffers) om te verseker dat hul dienste deur ontwerp veilig is.

Reaksies van ten minste sommige sektore op onlangse CNI-beskermingsmaatreëls was versigtig optimisties. Byvoorbeeld, toe die Wit Huis NSM-22 vrygestel het, het die Association of State Drinking Water Administrators (ASDWA)gereageer: “Terwyl dit onduidelik is hoe die nuwe NSM die voortdurende pogings om veerkragtigheid regoor die water- en afvalwatersektor te verhoog direk sal beïnvloed, gaan ASDWA voort om met EPA en sektorvennote te skakel om staats- en federale aktiwiteite te ondersteun om alle gevare aan te spreek, insluitend die mees onlangse pogings om 'n kuberveiligheidstaakmag vir water op die been te bring om die groeiende kuberbedreigings wat die sektor uitdaag, aan te spreek."

Die DHS-leiding het nie 'n groot ooreenkoms by die bestaande memorandum gevoeg nie, behalwe om spesifieke fokusareas te verduidelik wat baie bespreek is in verskeie uitvoerende bevele en kuberveiligheidstrategieë. Dit is egter nie die enigste dokument wat CISA oor infrastruktuurveerkragtigheid gepubliseer het nie. In Maart 2024 het dit 'n Infrastruktuurveerkragtigheidbeplanningsraamwerk (IRPF) om belanghebbendes te help beplan vir meer robuuste infrastruktuur wat meer veerkragtig is vir aanvalle. Dit het onlangs 'n vrygestel speelboek aan hierdie raamwerk vergesel. Werk soos hierdie om operasionele veerkragtigheid op te skerp is aan die gang en sal uitloop op 'n 2025 Nasionale Plan vir Infrastruktuurbeskerming. Dit sal 'n 2013-plan vervang om die regering se bygewerkte CNI-veerkragtigheidsdoelwitte te weerspieël. Dit is goed om te weet dat CISA sy oog op die prys het.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 23 Oktober 2025

waarom die ftc se kletsbot-ondersoek b2b-maatskappye moet bekommer

Waarom die FTC se Chatbot-ondersoek B2B-maatskappye moet bekommer

September was 'n keerpunt vir voorstanders van KI-etiek. Die FTC het Artikel 6(b)-bevele uitgereik aan sewe groot tegnologiemaatskappye wat kletsbotte vervaardig...

Danny Bradbury

cyber Security 7 Oktober 2025

Veilige Hawe-oorsig beteken sake soos gewoonlik – vir nou

September was 'n keerpuntmaand vir maatskappye in Europa wat data met die VSA wou deel. Die Algemene Hof van die Europese Unie het 'n beswaar verwerp...

Danny Bradbury

cyber Security 23 September 2025

Wanneer Legacy-stelsels misluk: Lesse uit die Federale Hof se Oortreding

Kuber-aanvalle gebeur elke dag, maar sommige is veral ontstellend. 'n Aanval hierdie somer op die Amerikaanse hofstelsel moes elke sekonde rillings laat afsak het...

Danny Bradbury