O ZNACZENIU OCHRONY AMERYKAŃSKICH WŁAŚCICIELI I OPERATORÓW RUROCIĄGÓW
Na początku maja jedna z amerykańskich firm rurociągowych ucierpiała w wyniku ataku ransomware. Firma postanowiła zareagować wstrzymaniem działalności na czas zbadania incydentu. Opóźniło to dotarcie dziesiątek milionów galonów paliwa do miejsca przeznaczenia na całym wschodnim wybrzeżu.
Niecały tydzień później agencja Bloomberg poinformowała, że firma zapłaciła miliony dolarów grupie zajmującej się oprogramowaniem ransomware, aby odzyskać dostęp do swoich systemów. Jak informuje Bloomberg, Amerykańscy urzędnicy rządowi byli świadomi tej płatności. Działając za pośrednictwem Departamentu Sprawiedliwości (DOJ), osoby te odzyskały część zapłaty z portfela bitcoin napastnika.
Odpowiedź TSA
Alejandro Mayorkas, Sekretarz Departamentu Bezpieczeństwa Wewnętrznego (DHS), zareagował na opisany powyżej incydent związany z bezpieczeństwem rurociągu, spotykając się z innymi urzędnikami, aby zastanowić się, w jaki sposób można wykorzystać Agencję Bezpieczeństwa Transportu (TSA) do poprawy cyfrowego bezpieczeństwa branży rurociągowej. Osoby te wspólnie zdecydowały, że TSA, jednostka DHS, wyda nową dyrektywę bezpieczeństwa dotyczącą firm z tego sektora. Według Washington Post, dyrektywa wymaga od organizacji rurociągowych, aby ujawniały TSA oraz Cybersecurity & Infrastructure Security Agency (CISA) incydenty bezpieczeństwa, takie jak ataki ransomware. Nakazuje również, aby te organizacje miały kogoś takiego jak CISO, który ma 24/7 bezpośrednią linię do TSA i CISA w celu zgłoszenia ataku.
Urzędnicy wyższego szczebla w DHS powiedzieli, że dyrektywa bezpieczeństwa będzie poprzedzać wydanie zestawu solidnych kontroli bezpieczeństwa dotyczących organizacji rurociągów. Kontrole te będą różnić się od poprzednich wytycznych dotyczących bezpieczeństwa rurociągów, odnotowanych przez The Washington Post, ponieważ nie będą one dobrowolne. Organizacje rurociągów będzie musiał użyć ich do wzmocnienia bezpieczeństwa swoich systemów lub ryzyko poniesienia kar finansowych.
Odpowiedź Tripwire na dyrektywę TSA w sprawie bezpieczeństwa
Tripwire zdaje sobie sprawę z wagi ochrony amerykańskich właścicieli/operatorów rurociągów, jak również ich znaczenia dla amerykańskiej gospodarki oraz utrzymania i dobrobytu obywateli. Jako wiodący dostawca rozwiązań z zakresu integralności systemów IT i OT, Tripwire jest gotowy do współpracy z DHS w zakresie kilku kluczowych postanowień dyrektywy TSA dotyczącej bezpieczeństwa. Wymagania te obejmują następujące kwestie:
Wykorzystanie wyznaczonego kierownika dostępnego w przypadku incydentu związanego z bezpieczeństwem
Chociaż firma Tripwire nie może wyznaczyć osoby zarządzającej w przypadku włamania, jej rozwiązania w zakresie bezpieczeństwa cybernetycznego pomagają wyznaczonej osobie zarządzającej uzyskać wgląd w to, co, kiedy i gdzie zostało naruszone w wyniku zdarzenia związanego z bezpieczeństwem cybernetycznym. Dzięki tym szczegółom, wyznaczony dyrektor może szybko zidentyfikować zaatakowane zasoby, aż do MAC ID, adresów IP, numerów seryjnych i nazw hostów, aby ocenić stopień uszkodzenia, a także stworzyć pliki dziennika, aby `lepiej zdiagnozować sytuację.
Wyznaczenie koordynatora ds. bezpieczeństwa cybernetycznego dostępnego 24/7 dla TSA i CISA
Tripwire może w sposób ciągły monitorować zarówno środowiska IT jak i OT pod kątem polityk, zmian lub złośliwej aktywności. Tripwire może aktywnie identyfikować zasoby IT za pomocą agentów lub bez agentów, przeprowadzać pasywną głęboką inspekcję pakietów (DPI) w odniesieniu do ponad 100 protokołów IT i OT, a także gromadzić bogate dane dotyczące tych zasobów. Dzięki ciągłemu, całodobowemu monitorowaniu Tripwire, koordynator ds. bezpieczeństwa cybernetycznego może z łatwością odpowiadać na pytania TSA i CISA, informując o potencjalnych włamaniach zarówno do środowiska IT, jak i OT.
Przegląd działań pod kątem zaleceń TSA zawartych w sekcji 7 wytycznych dotyczących bezpieczeństwa
Tripwire obejmuje wszystkie powiązane systemy OT, od SCADA, PCS i DCS, wraz z integracją i widocznością środowisk IT. Integralność systemu - ciągła rewalidacja wiarygodności - jest niezbędna, aby wiedzieć, że krytyczne systemy są takie, jakie być powinny. Dodatkowo, Tripwire ściśle współpracuje i zapewnia zgodność polityki out-of-the-box z zaleceniami NIST zawartymi we wstępie do tego dokumentu.
Właściciele/operatorzy rurociągów będą również zobowiązani do zrozumienia, które aktywa w ich sieciach są krytyczne, a które nie. Tripwire może szybko pomóc w skanowaniu, identyfikowaniu i oznaczaniu aktywów w systemach OT w celu sklasyfikowania aktywów krytycznych i niekrytycznych. Następnie może zapewnić właścicielom/operatorom wsparcie w tworzeniu wymaganych przez TSA podstawowych polityk i pomiarów dla tych nowo sklasyfikowanych zasobów. Poprzez monitorowanie pożądanego stanu systemu i ostrzeganie o zmianach, które mogą od niego odbiegać, rozwiązanie to stanowi ostateczne wsparcie dla innych rozwiązań cyberbezpieczeństwa, które zwykle koncentrują się na wykrywaniu złośliwej aktywności.
Autor: ALEX BAGWELL