産業部門における一か八かの影響
以前は、インシデント報告の影響力は脅威アクターに非常に有利に働いていました。公開情報源から潜在的な被害者について知ることはできましたが、標的となった組織は風評被害、世間への暴露、その他の報復を恐れてサイバー攻撃や侵害情報の開示に消極的でした。
インシデントの過少報告により、リスク認識が不正確になることがよくあります。特に本番運用においては、リスクの影響を正確に理解するために、サイバーインシデントの速度、量、巧妙さに対する十分な可視性がまったくありません。また、インフラが複雑なため、産業界では新しいプロセスやテクノロジの導入がすでに遅れているため、インシデント報告の遅れにより、適切な保護を実装するために必要な時間が2倍または3倍になる可能性があります。
このデータがなければ、組織のリーダは知らず知らずのうちにインフラを脆弱なままにしており、これらのサービスに依存している何百万もの顧客や国民も脆弱な状態にしています。一方、議員らは政策策定にそれほど注力していない。ウクライナ戦争が示すように、さまざまな犯罪者であれ、国家の軍隊であれ、サイバーセキュリティの脅威アクターの活動を可視化することが重要です。
CIRCIAの目的は、より迅速かつ効果的にインシデントに対応するための防御側の装備を強化し、より優れたマクロ洞察と保護を開発するために、情報共有の強化をサポートすることです。また、この法律により、脅威研究者と一般の人々が、現在のサイバーセキュリティリスクの真の大きさをより深く理解できるようになります。
CIRCIAの新しい要件
CIRCIAは、米国連邦政府との契約を結んでいない企業を含む重要インフラの所有者および運営者に対し、指定された期限内にサイバーセキュリティインシデントと身代金の支払いをサイバーセキュリティ・インフラセキュリティ庁(CISA)に報告することを義務付けています。
この規制では、重要インフラを広範に定義しています。大統領政策指令213で定義されているように、このカテゴリには、エネルギー、防衛産業基盤、ダム、上下水道システム、化学産業、重要な製造、輸送、原子力施設を含む16部門が含まれます。
これは、この規則がすべてではないにしてもほとんどのOT事業者に適用され、その規定がそれらの業界の組織をサポートするサービスプロバイダにも適用される可能性があることを意味します。
規制 – 保護付き
議会は、「重大なサイバーインシデント」とは具体的に何を意味するのか、対象となる組織がそのようなインシデントが発生したと「合理的に信じる」ためには何が必要なのかを含め、新しいCIRCIA規制について議論を続けている。現在の法律では、対象となる企業は以下の報告を義務付けられています。
- 影響を受けた組織がインシデントが発生したと合理的に信じてから72時間以内に重大なサイバーインシデントが発生した場合
- すべての身代金の支払いは、支払いが行なわれてから24時間以内に行なわれます。
これらの報告義務はすでに署名されて法律として成立していますが、CISAによって最終決定されるまで発効しません。最終規則は遅くとも 2025年9月までに公表されなければなりませんが、CISAはその日より前に策定して公表することを選択する可能性があります。
この法律はCISAに執行権限を与えると同時に、サイバーインシデントや身代金の支払いについて報告する組織に重要な法的保護も提供します。さらに、インシデントを報告する人は、リアルタイムで攻撃を阻止し、サイバー犯罪者を裁くために、FBIと米国秘密情報局から多大な支援を受けることが期待できます。
CIRCIAを超えて
CISAのCIRCIAは氷山の一角です。CISAに史上初の執行権限を与える4など、いくつかの点で画期的ではありますが、これは米国およびその他の国で新たに提案されているいくつかのサイバーセキュリティインシデント報告規則のうちの1つにすぎません。脅威が増大するにつれ、情報開示とサイバーリスク軽減に関するさらなる規則を制定するよう規制当局への圧力が高まることが予想されます。
例えば、証券取引委員会(SEC)5は、上場企業に対し、重大なサイバーインシデントの性質と範囲を開示し、それが企業運営に及ぼす影響を報告することを義務付けることを提案しています。連邦通信委員会(FCC)6および運輸保安局(TSA)[iv]も開示要件を提案または公表しています。
EUでは、セキュリティネットワークおよび情報システムに関する指令8が、他の多くの規制9とともに、重要インフラプロバイダーに違反を報告することを義務付けています。地球規模で、国連は個人データ保護とサイバーレジリエンスに焦点を当てた国際条約10の条件について議論しています。
どのように備えるか
ロックウェル・オートメーションのOTサイバーセキュリティ・コンサルティング・サービスのシニア・グローバル・マネージャであるカミル・カルマリは、OT事業者は「この進化し続ける脅威の状況において危機がより頻繁に発生する状況に加え、規制の監視を強化することに今から備える必要があります」と、説明しました。
カルマリはまず、リアルタイムの脅威検出、ネットワークのセグメンテーション、エンドポイントセキュリティ、パッチ管理、IDとアクセスの管理、インシデント対応計画または運用復旧に向けた関連プログラムなどの要素を含む、継続的なサイバーセキュリティプログラムの一部として適切な防御機能を導入することをお奨めします。生産回復に向けたプログラム。これらの機能は通常、コンプライアンスレポートに必要な文書を提供します。
OT事業者は、CISAのWebサイトにあるセキュリティ・インシデント・レポートのテンプレートについてもよく理解しておく必要があります。この簡単なフォームはここから入手できます。
法執行機関との強力な関係を構築することは、OT事業者が必要な場合に政府の援助を迅速に利用できるようにすることにも役立ちます。
1https://www.dhs.gov/news/2021/05/27/dhs-announces-new-cybersecurity-requirements-critical-pipeline-ownersand-operators
2https://www.congress.gov/bill/117th-congress/house-bill/2471/text
3https://obamawhitehouse.archives.gov/the-press-oce/2013/02/12/presidential-policy-directive-criticalinfrastructure-security-and-resil
4https://federalnewsnetwork.com/cybersecurity/2022/03/from-partner-to-regulatory-enforcer-cisa-takes-oncomplex-cyber-incident-reporting-mandate/
5https://www.sec.gov/news/press-release/2022-39
6https://www.fcc.gov/document/chair-rosenworcel-circulates-new-data-breach-reporting-requirements
7https://www.dhs.gov/news/2021/12/02/dhs-announces-new-cybersecurity-requirements-surface-transportationowners-and
8https://digital-strategy.ec.europa.eu/en/policies/nis2-directive#:~:text=The%20Directive%20on%20security%20of,them%20to%20be%20appropriately%20equipped.
9https://www.enisa.europa.eu/topics/incident-reporting
10https://unric.org/en/a-un-treaty-on-cybercrime-en-route/
