Colonial Pipeline Co. изпрати вълна от паника от Тексас до Ню Джърси миналата пролет, когато ръководителите на компанията решиха как ще реагират на хакерите: те затвориха тръбопровода, прекъсвайки потока на бензин и други горива към Източен бряг.
Главният изпълнителен директор на Colonial Джоузеф Блаунт свидетелства пред Конгреса, че решението трябва да бъде взето. Ако коварната форма на зловреден софтуер беше пътувала от бизнес компютрите на Colonial до технологията за контрол на тръбопровода, каза Блаунт, всички залози бяха провалени. Недостигът на газ, който продължи една седмица, можеше да продължи с месеци.
Решението през май да се затвори голям кран за гориво предизвика тревога в енергийния сектор. Хакването, засягащо тръбопроводната система от 5500 мили на Colonial, даде ярко напомняне за това колко лесно група онлайн престъпници, които искат да спечелят лесни пари, могат да подкопаят енергийната система на САЩ.
Колониален — 2021 г. най-яркият пример за уязвимостта на Америка в дигиталната ера — постави началото на 2022 г., която може да доведе до значителни промени в правителствения надзор и самоконтрола на индустрията.
В продължение на години енергийни компании от всякакъв вид се съпротивляваха на правителствените мандати за киберсигурност. Това започва да се променя в постколониалната ера.
Администрацията на Байдън стартира няколко инициативи, насочени към укрепване на капацитета на федералните агенции за управление на заплахата срещу критичната инфраструктура. Байдън назначи Крис Инглис за национален кибер директор, натоварен със задачата да координира стратегията за киберсигурност на САЩ. И Белият дом издаде изпълнителна заповед за преустройство на федералната цифрова защита.
Ето четири тенденции в киберсигурността, които да държите под око през 2022 г.:
Напаст с рансъмуер
За няколко кратки години рансъмуерът се превърна от средно опасен проблем в основен проблем за компаниите.
Атаката срещу тръбопровода Colonial от групата за рансъмуер DarkSide доведе до множество изслушвания на Капитолийския хълм, посветени на проблемите около сигурността на енергийната инфраструктура.
Ransomware е измъчвал всичко - от електроснабдителните компании до местните правителствени агенции.
Електрическа кооперация в Колорадо беше засегната от предполагаема атака с ransomware през ноември, която доведе до 90 процента загуба на вътрешни мрежи (Energywire, 6 декември 2021 г.). През същия месец вятърният енергиен гигант Vestas Wind Systems A/S беше засегнат от кибератака (Energywire, 22 ноември 2021 г.).
Изглежда краят не се вижда. Неотдавнашен доклад от фирмата за киберсигурност Mandiant отбеляза, че „бизнесът с ransomware е просто твърде доходоносен“, за да бъде игнориран от киберпрестъпниците. Mandiant също предупреди, че престъпните хакери вероятно ще продължат да изследват оперативните технологии през следващата година „и все повече да използват рансъмуер в своите атаки“.
Дар от боговете: Log4j
Краят на 2021 г. приключи една година, пълна с исторически предизвикателства за киберсигурността. Уязвимост, открита в началото на декември в базирания на Java софтуерен компонент Log4j, беше описана от Джен Истърли, директор на Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), като „най-сериозната уязвимост, която съм виждал в дългата си десетилетия кариера“.
В съвместен сигнал, ФБР; CISA; Национална Агенция за Сигурност; и агенциите за сигурност, представляващи Австралия, Канада, Нова Зеландия и Обединеното кралство, предупредиха, че „усъвършенствани участници в кибернетични заплахи активно сканират мрежи, за да експлоатират потенциално“ уязвимостта на Log4j. CISA също така издаде спешна директива, задължаваща всички федерални агенции да коригират уязвимостта до края на декември.
Log4j е повсеместна софтуерна уязвимост, която може лесно да бъде използвана. Но за енергийния сектор това не е толкова просто като качването на най-новата корекция. Експертите отбелязаха, че може да минат месеци до години, преди уязвимостта да бъде коригирана и пълното й въздействие да стане известно (Energywire, 14 декември 2021 г.).
„Ако работите с язовир Хувър или изпълнявате химически процес“, каза Крис Гроув, стратег по киберсигурност във фирмата за индустриална киберсигурност Nozomi Networks, „тогава последиците от преконфигурирането и рестартирането или дори получаването на достъп до корекция са по-голям, както и рискът.“
Анализаторите по сигурността казват, че добре познати хакери се възползват от уязвимостта. Но енергийният сектор все още не е видял атаки, които биха могли да изгасят светлините, според Центъра за споделяне и анализ на информация за електроенергията, клиринговата къща за сигурност на енергийната индустрия.
Пробиви във веригата за доставки и софтуера
Уязвимостта на софтуера Log4j е само най-новият сигнал за събуждане за енергийната индустрия, която разчита на глобалните вериги за доставки за всичко - от софтуер за сигурност до слънчеви панели.
Свързаната с Русия кампания за кибершпионаж, която експлоатира софтуера SolarWinds, накара Белия дом миналата година да издаде изпълнителна заповед, насочена към веригата за доставка на софтуер. Наред с други неща, той изисква от доставчиците на софтуер да предоставят това, което се нарича софтуерна спецификация - списък на компонентите в софтуера, подобен на списък на съставките в рецепта.
„Имаме страхотна видимост във федералните мрежи. Нямаме видимост в критичната инфраструктура“, каза Истърли, директор на CISA, по време на консултативно обаждане.
Списъкът на софтуерните материали е стъпка към по-доброто разбиране на рисковете, свързани със софтуера, но това не е най-добрият куршум, каза Рон Браш, вицепрезидент по техническите изследвания в aDolus Technology Inc.
„Повечето енергийни компании, дори големите, нямат способността дори да погледнат спецификацията на софтуера и да видят какво е изложено на риск“, каза Браш.
Министерството на енергетиката публикува искане за информация относно редица проблеми, свързани с глобалната верига на доставки, един от които е киберсигурността. Но енергийният сектор се бори с политиките на федералната верига за доставки от администрацията на Тръмп, някои от които произтичат от търговското напрежение с Китай.
„Изключително положително е, че възприемаме толкова широкообхватна гледна точка на веригата за доставки и разглеждаме конкурентния пейзаж, за да не е непременно веднага, за една нощ, да отчуждим определени държави“, каза Тобиас Уитни, вицепрезидент на фирмата за киберсигурност Fortress Информационна сигурност. „Мисля, че това беше предизвикателството със заповедта за забрана на предишната администрация.“
Джим Кънингам, изпълнителен директор на Protect Our Power, каза, че първата половина на 2022 г. може да каже много за посоката на федералната политика по въпросите на веригата за доставки.
Законодателство и мандати
Членовете на Конгреса издадоха множество закони през 2021 г., насочени към укрепване на защитата на САЩ срещу хакери. Част от тях попаднаха в Закона за разрешение за национална отбрана.
Въпреки това двупартийният законопроект за уведомяване за киберинциденти, който се очаква да влезе в NDAA, се сблъска с препятствие в последния момент, когато сенатор Рик Скот (R-Fla.) възрази. Скот беше загрижен, че изискването за уведомяване за киберинцидент може да бъде бреме за малкия бизнес. Никога не е влизало в сметката.
Представител Джим Лангевин (D-R.I.), който наскоро обяви, че не се кандидатира за преизбиране, каза пред E&E News, че законопроектът за уведомяване за киберинциденти е един от неговите приоритети тази година (Energywire, 19 януари).
Норма Крайем, експерт по киберсигурност във Van Scoyoc Associates, каза, че Конгресът трябва да се върне към мандата за докладване, който се прилага за електрическите услуги. Тя отбеляза, че законодателите също така проучват как най-добре да защитят инфраструктура, която се счита за свръхкритична за икономиката на САЩ.
Наречени „системно важна критична инфраструктура“ от законодателите и „първични системно важни субекти“ от CISA, усилията ще бъдат насочени към гарантиране, че гръбнакът, поддържащ икономиката на САЩ, има както ресурси, така и федерално внимание.
„Надяваме се, че тези усилия ще бъдат синхронизирани, но има очаквания, че тази нова категория ще има нови регулаторни мандати, поставени на всяко образувание, което получи това обозначение“, каза Крайем.
Представител Джон Катко (R-N.Y.) представи H.R. 5491, който би упълномощил CISA да идентифицира собствениците и операторите на критична инфраструктура. Easterly подкрепи законопроекта, като каза, че агенцията очаква 150 до 200 субекта да влязат в списъка.
