Les agences fédérales étudient activement les cybermenaces visant les infrastructures critiques. Dans une annonce du 27 janvier, la Maison Blanche a déclaré: "elle étendra l'initiative de cybersécurité des systèmes de contrôle industriel (ICS) au secteur de l'eau". Cela s'appuie sur les activités passées de l'administration Biden pour accroître l'attention portée aux infrastructures critiques et aux systèmes de contrôle industriel, et contient des éléments qui ont été recherchés par les décideurs politiques, notamment la surveillance du réseau et le partage d'informations.
Le plan d'action fait suite à un avis conjoint sur la cybersécurité d'octobre 2021 avertissant d'une cyberactivité malveillante en cours ciblant les réseaux, systèmes et dispositifs de technologie de l'information (IT) et de technologie opérationnelle (OT) des installations du secteur américain de l'eau et des eaux usées (WWS) . À cette époque, le gouvernement a averti que les installations de WWS pourraient être vulnérables aux attaques de rançongiciels ou aux menaces internes de la part d'employés actuels ou anciens qui conservent des informations d'identification incorrectement actives. Les cyber-intrusions du secteur WWS de 2019 au début de 2021 comprenaient des attaques contre des installations en Californie, dans le Maine, au Nevada, au New Jersey et au Kansas.
En créant un nouveau plan d'action pour une « poussée » afin d'examiner et d'améliorer la cybersécurité dans le secteur de l'eau, la Maison Blanche fait appel à l'Environmental Protection Agency (EPA), la Cybersecurity and Infrastructure Security Agency (CISA) au sein du Département de Sécurité intérieure (DHS) et le Conseil de coordination du secteur de l'eau (WSCC). Le plan d'action présente un programme pilote volontaire pour les propriétaires et les exploitants de réseaux d'eau, grands et petits, en «déployant une technologie qui surveillera leurs systèmes et fournira une connaissance de la situation et des avertissements en temps quasi réel. Le plan permettra également de partager rapidement des informations pertinentes sur la cybersécurité avec le gouvernement et d'autres parties prenantes », ce qui a été une priorité pour les agences et plusieurs membres du Congrès qui souhaitent voir un flux d'informations accru du secteur privé.
Alors que l'annonce de la Maison Blanche adopte un modèle de partenariat public-privé, une myriade de développements au cours de l'année dernière suggèrent que ce fondement collaboratif de la cyberpolitique fédérale est en train de s'éroder. Notamment, le communiqué de la Maison Blanche a déploré que «le gouvernement fédéral dispose de pouvoirs limités pour établir des bases de référence en matière de cybersécurité pour les infrastructures critiques et la gestion de ce risque nécessite un partenariat avec le secteur privé et les propriétaires et exploitants municipaux de cette infrastructure». De multiples propositions de la Cyberspace Solarium Commission appelaient à des mandats de partage d'informations et le Congrès a repris la cause dans plusieurs projets de loi. La législation proposée accorderait aux agences un nouveau pouvoir d'exiger le signalement des incidents et créerait de nouvelles attentes substantielles en matière de cybersécurité pour certains secteurs. Le modèle ISAC/ISAO a reçu moins d'attention ces derniers temps, et les décideurs politiques voudront peut-être réfléchir à la meilleure façon de protéger la collaboration volontaire dans le cadre de ce passage aux mandats.
Le plan d'action appelle à la surveillance du réseau et du système, ce qui a été proposé par certains décideurs et le ministère de la Défense (DoD) a évalué la recherche et la surveillance des menaces en vertu de l'article 1739 de la loi sur l'autorisation de la défense nationale (NDAA) pour l'exercice 2021. . La chasse aux menaces du gouvernement et la surveillance des réseaux soulèvent des préoccupations pratiques et fondées sur des principes concernant l'accès du gouvernement aux données privées, comme le montrent les objections antérieures sur les libertés civiles à la loi de 2015 sur la cybersécurité et le partage d'informations. La surveillance gouvernementale des réseaux privés est très complexe et les entreprises privées devraient procéder à avertir. Les organisations travaillant avec le FBI pour permettre une surveillance consensuelle en vertu de la loi sur l'écoute électronique afin d'effectuer une analyse ou une correction après une violation négocient souvent des délais, des exigences de minimisation des données, des protections FOIA et d'autres garanties. Tout partenariat de surveillance ou de rapport entre le gouvernement et les exploitants d'infrastructures critiques devrait envisager diverses protections.
L'initiative sur l'eau intervient au milieu d'une vague d'activités fédérales visant à imposer de nouvelles exigences aux exploitants de pipelines et au secteur ferroviaire, par la Transportation Security Administration. Contrairement au plan d'action pour l'eau, ces régimes sont obligatoires et exigent que des rapports sur les incidents et diverses évaluations soient effectués et partagés avec les organismes de réglementation. Dans le même temps, le DHS travaille sur des objectifs de performance pour les infrastructures critiques, dans le cadre du mémorandum de sécurité nationale sur «l'amélioration de la cybersécurité pour les systèmes de contrôle des infrastructures critiques» (28 juillet 2021), dont les hauts responsables ont indiqué qu'ils formeront une norme de soins allant avant.
