Die Cybersecurity and Infrastructure Security Agency (CISA) definiert kritische Infrastruktur als die wesentlichen Systeme und Dienste, die die Grundlage der amerikanischen Gesellschaft bilden. Sie sind so wichtig für unser Land, dass ihre Beeinträchtigung oder Zerstörung katastrophale Folgen für die öffentliche Gesundheit, Sicherheit und wirtschaftliche Sicherheit hätte.
Zu unserer kritischen Infrastruktur gehören laut dem Department of Homeland Security (DHS) Autobahnen, Verbindungsbrücken und -tunnel, Eisenbahnen, Versorgungsunternehmen wie Wasser und Strom, Lebensmittelversorgung, Gesundheitseinrichtungen, Gebäude und zugehörige Dienstleistungen. Unser wirtschaftliches Überleben und unser tägliches Leben hängen von diesen lebenswichtigen Systemen ab.
Die CISA wurde gegründet, um Cybersicherheits- und kritische Infrastruktur-Schwachstellen in den USA zu verringern. Die Organisation arbeitet mit Unternehmen, Gemeinden und Regierungen zusammen, um die Verteidigung des Landes in wichtigen Sektoren zu stärken und sie widerstandsfähiger gegen Cyber- und physische Bedrohungen zu machen.
Im Fokus: Schutz der kritischen Infrastruktur unseres Landes
In der ersten Hälfte des Jahres 2021 unterzeichnete Präsident Biden eine Executive Order mit dem Ziel, die Cybersicherheitslage unseres Landes zu verbessern und zu modernisieren, insbesondere in Branchen der kritischen Infrastruktur.
Sowohl öffentliche als auch private Einrichtungen sehen sich alarmierend ausgefeilten und bösartigen Cyber-Aktivitäten gegenüber, zusammen mit einer starken Zunahme weniger komplexer Angriffe wie Phishing, die ebenfalls verheerend sein können, wenn sie nicht erkannt werden.
Das White House Fact Sheet zur Executive Order besagt: „Ein Großteil unserer inländischen kritischen Infrastruktur befindet sich im Besitz und wird betrieben vom privaten Sektor, und diese Unternehmen des privaten Sektors treffen ihre eigenen Entscheidungen bezüglich Investitionen in die Cybersicherheit. Wir ermutigen Unternehmen des privaten Sektors, dem Beispiel der Bundesregierung zu folgen und ehrgeizige Maßnahmen zu ergreifen, um Investitionen in die Cybersicherheit zu erhöhen und auszurichten, mit dem Ziel, zukünftige Vorfälle zu minimieren.“
Einige der Möglichkeiten, wie die Executive Order die Cybersicherheit für die kritische Infrastruktur unseres Landes stärken wird, umfassen:
- Anbieter müssen Informationen über Sicherheitsverletzungen weitergeben, die Regierungsnetzwerke beeinträchtigen könnten.
- Einrichtung eines Cybersecurity Safety Review Board, das Cybervorfälle analysiert und konkrete Empfehlungen zur Verbesserung ausspricht.
- Erstellung eines standardisierten playbook für die Reaktion auf Vorfälle, damit Bundesbehörden einheitliche Schritte zur Erkennung und Eindämmung einer Bedrohung unternehmen können. Das playbook wird auch dem privaten Sektor eine Vorlage für seine Reaktionsbemühungen bieten.
Schritte zum Schutz der Cybersicherheit kritischer Infrastruktur
Das Analystenunternehmen ARC Advisory Group hat kürzlich Anforderungen für die Sicherung kritischer OT-Systeme überprüft. Ihr anschließender Bericht enthielt die folgenden Kernempfehlungen für Industrieunternehmen:
- Überprüfen Sie OT-Cybersicherheitsstrategien, um sicherzustellen, dass die Grundlagen abgedeckt sind und Vertrauen besteht, dass Ihre Organisation mit ausgefeilten Angriffen umgehen kann. Wie häufig werden beispielsweise Bestandsaufnahmen der installierten Basis bewertet? Welche Erkennung-, Abwehr- und Reserve-/Wiederherstellungssysteme sind konzipiert?
- Wird allen Mitarbeitenden eine Schulung zum Cyber-Bewusstsein angeboten? Welche physischen oder Produktsicherheitsmaßnahmen wurden auf Steuerungs- und Geräteebene implementiert?
- Stellen Sie sicher, dass digitale Transformationsinitiativen von Anfang an ausreichende Sicherheit beinhalten, um Risiken im Zusammenhang mit Internet der Dinge-Geräten, Cloud-Diensten, Remote-Mitarbeitenden, Lieferketten und Drittsystemen zu reduzieren. Ziehen Sie Dritte in Betracht, um Lücken im Cybersicherheits-Know-how zu schließen. Cybersicherheitstalente sind weltweit notorisch knapp. Es ist unerlässlich, effektive Infrastruktursicherheitslösungen schnell und präzise einzusetzen, und Beratungsunternehmen mit dieser Expertise können Fachwissen bereitstellen und so enormen Aufwand und Kosten sparen.
Cybersicherheitslücken in Branchen der kritischen Infrastruktur müssen geschlossen werden, und viele öffentliche und private Organisationen müssen diese Themen mit Dringlichkeit angehen.
Bereitstellung von Fördermitteln
Der Kongress verabschiedete im November 2021 ein überparteiliches Infrastrukturgesetz im Wert von USD 1000000000000,00. Ein Teil des Infrastrukturgesetzes wird Milliarden von US-Dollar an Fördermitteln für CISA, die EPA und die Federal Emergency Management Agency (FEMA) bereitstellen. Alle Mittel werden für Dienstleistungen und Zuschüsse verwendet, die dazu beitragen, die kritischen Infrastrukturdienste des Landes zu schützen, auch auf Ebene der Bundesstaaten und Kommunen.
Beispiel: Es gibt Bestimmungen, um Stromnetze und Wasser-/Abwassersysteme bei der Stärkung ihrer Abwehr gegen Ransomware und andere Cyberangriffe zu unterstützen. Zuschüsse unterstützen auch notwendige Schritte bei der Einreichung eines genehmigten Cybersicherheitsplans, wie die Durchführung von Schwachstellenbewertungen, malware-Analysen oder Bedrohungserkennung.
Um für einen Zuschuss in Frage zu kommen, muss ein Cybersicherheitsplan zur Überprüfung beim DHS eingereicht werden, der technische Fähigkeiten und Protokolle zur Erkennung und Reaktion auf Cyberangriffe detailliert beschreibt. Der Plan muss bestimmte Mindeststandards erfüllen. (Weitere Informationen werden bei Veröffentlichung bereitgestellt). Die Cybersicherheitsbewertung und Planungsprotokolle von Rockwell Automation, basierend auf dem NIST-Framework für effektive Cybersicherheit mit den Kategorien Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen, wären ein logischer Ausgangspunkt.
Cybersicherheit kritischer Infrastruktur: eine gesellschaftliche Verantwortung
Es ist eindeutig an der Zeit, dass sowohl Regierungen als auch private Akteure das Cybersicherheitsrisiko in kritischen Infrastrukturen verringern. Das einzige Hindernis ist das Zögern bei der Umsetzung.
Rockwell Automation engagiert sich dafür, Branchen der kritischen Infrastruktur bei der Beantragung von Fördermitteln durch den Infrastructure Investment and Jobs Act zu unterstützen. Erfahren Sie mehr über die Schritte, die Sie heute unternehmen können, um sich auf die Antragstellung vorzubereiten.
