网络安全和基础设施安全局 (CISA) 将关键基础设施定义为美国社会的基础性系统和服务。这些系统和服务对国家至关重要,一旦瘫痪或被破坏,将对公共健康、安全和经济安全造成灾难性后果。
根据国土安全部 (DHS)的定义,我们的关键基础设施包括高速公路、连接桥梁和隧道、铁路、供水和供电等公用设施、食品供应、医疗保健基础设施、建筑物及相关服务。我们的经济生存和日常生活都依赖于这些重要系统。
CISA 的成立旨在减少美国的网络安全和关键基础设施漏洞。该组织与企业、社区和政府合作,加强国家在关键领域的防御能力,使其更能抵御网络和物理威胁。
聚焦保护国家关键基础设施
2021年上半年,拜登总统签署了一项行政命令,旨在提升和现代化我国的网络安全态势,特别是在关键基础设施行业。
公共和私营部门实体都面临着极其复杂且恶意的网络活动,以及网络钓鱼等不太复杂但数量激增的攻击,这些攻击如果未被及时发现,同样可能造成严重影响。
白宫关于该行政命令的说明指出:“我们国内的关键基础设施大多由私营部门拥有和运营,这些私营企业会自行决定网络安全投资。我们鼓励私营企业效仿联邦政府,采取积极措施,增加并调整网络安全投资,以最大限度减少未来事件。”
行政命令将通过以下几种方式加强我国关键基础设施的网络安全:
- 要求供应商共享可能影响政府网络的违规信息。
- 建立网络安全安全审查委员会,分析网络事件并提出具体改进建议。
- 制定网络事件响应标准化手册,使联邦部门能够采取统一步骤识别和缓解威胁。该手册还将为私营部门提供响应工作的模板。
关键基础设施网络安全保护的步骤
分析公司 ARC Advisory Group 最近审查了保护关键 OT 系统的要求。他们随后发布的报告中为工业企业提出了以下核心建议:
- 审查 OT 网络安全策略,确认基本要素已覆盖,并确保您的组织能够应对复杂攻击。例如,已安装资产清单评估的频率如何?设计了哪些检测、缓解和备份/恢复系统?
- 是否为所有员工提供了网络安全意识培训?在控制器和设备层面实施了哪些物理或产品安全措施?
- 确认数字化转型工作从一开始就包含了充分的安全措施,以降低与 IoT 设备、云服务、远程工作人员、供应链和第三方系统相关的风险。可考虑引入第三方以弥补网络安全专业知识的不足。全球网络安全人才极为短缺。必须快速、准确地部署有效的基础设施安全解决方案,拥有此类专业知识的咨询公司可提供支持,节省大量无效工作和成本。
关键基础设施行业的网络安全缺口必须被弥合,许多公共和私营组织必须紧急应对这些问题。
可用的拨款资金
国会于2021年11月通过了一项两党支持的 USD1000000000000 基础设施法案。该法案的一部分将为 CISA、环境保护局 (EPA) 和联邦紧急事务管理局 (FEMA) 提供数十亿美元资金。所有资金将用于为国家关键基础设施服务提供保护的服务和拨款,包括州和地方政府层面。
例如,条款中规定将协助电网和水/污水系统加强对勒索软件和其他网络攻击的防御。拨款还支持在获批的网络安全计划提交中所需的步骤,如执行漏洞评估、恶意软件分析或威胁检测。
要获得拨款资格,必须向国土安全部提交网络安全计划以供审查,详细说明检测和响应网络攻击的技术能力和协议。该计划需满足特定基准标准。(发布时将提供更多信息)。Rockwell Automation 的网络安全评估和规划协议基于 NIST 框架,涵盖识别、保护、检测、响应和恢复等类别,是合理的起点。
关键基础设施网络安全:一项公民责任
显然,政府和私营企业都应减少关键基础设施运营中的网络安全风险。唯一的障碍是拖延行动。
Rockwell Automation 致力于协助关键基础设施行业通过《基础设施投资和就业法案》获得拨款资金。了解您今天可以采取的步骤,为申请做好准备。
