依據美國網路安全暨基礎設施安全局(CISA)規範,關鍵基礎設施可定義為屬於美國社會基礎所必要的系統及服務。這些基礎設施對國家至關重要,因此一旦癱瘓或遭破壞,對於公眾健康、安全與經濟保障都將損失慘重。
根據美國國土安全部(DHS)規定,美國關鍵基礎設施可包括公路、連通橋樑與隧道、鐵路、用水及用電等公用設施、食物供給、醫療基礎設施、建築和相關服務。國民經濟生存與日常生活的條件,都仰賴這些關鍵系統。
建立CISA之宗旨,即是減輕美國境內來自網路安全與關鍵基礎設施的漏洞。本組織與企業、社群和政府合力構築國內關鍵領域的防禦工事,使其在遭逢網路和實體威脅時有更佳的復原力。
聚焦於鞏固國家的關鍵基礎設施
2021年上半年,美國總統拜登簽署了一項行政命令,目標係為強化全國網路安全狀態並革新技術,尤其著重在關鍵基礎設施產業。
不分公私領域,各組織都面臨著極為精密的惡意網路活動,而且如網路釣魚等複雜度較低的攻擊也有大幅增長,若未即時偵測此類攻擊也可能會招致嚴重的後果。
美國白宮發布此行政命令的事實清單指出:「我國的關鍵基礎設施多數為私領域所擁有及營運,關於網路安全投資也由這些私領域企業自主決定。我們鼓勵私領域企業遵循聯邦政府指引,採行高進取措施來擴大對網路安全的投資,使其朝向未來事故發生率極小化的目標。」
此行政命令中某些將強化本國關鍵基礎設施之網路安全的途徑包括:
- 委請供應商共享可衝擊政府網路的入侵資訊。
- 建立網路安全審查委員會,以分析網路安全事件並對其改善提出具體建言。
- 制定一份標準化網路安全事件應對手冊,俾利聯邦政府相關部門統合威脅識別與減災的共同步驟。這份手冊也可作為私領域籌畫應對方案之範本。
保障關鍵基礎設施網路安全之步驟
ARC Advisory Group分析公司近期審視了鞏固關鍵OT系統安全的需求條件。其後續報告內容包含底下適用於工業公司的核心建議:
- 審視OT網路安全策略以確認基礎要項完善,並建立起貴組織可應對精密攻擊之信心。例如,已安裝基礎庫存的評估頻率為何?設計有哪些偵測、減災和備援/復原系統?
- 是否提供所有人員進行網路安全意識的教育訓練?已經有實施哪些有關控制器和裝置的實體或產品安全步驟?
- 確保數位轉型活動從萌芽之初即涵蓋足夠安全性,減少與物聯網(IoT)裝置、雲端服務、遠端人力、供應鏈和第三方系統相關的風險。考量由第三方參與彌補網路安全專業上的不足。全球各地正鬧網路安全人才荒為眾所皆知。關鍵要務係快速而精準地部署高效率基礎設施安全解決方案,有此專業的顧問公司可輔助提供專業能力,節省下龐大的心力和成本多餘支出。
關鍵基礎設施產業的網路安全落差必須弭平,許多公有和私人組織都必須以處理此議題為當務之急。
取得經費補助
2021年11月,美國國會通過了一項跨黨派的1兆美元基礎設施法案。此基礎設施法案有一部分將提供數十億美元資助CISA、美國國家環境保護局(EPA)與美國緊急災難管理署(FEMA)。資助金全額都將用作保障本國關鍵基礎設施服務的服務內容與經費補助,範圍涵蓋至州政府和地方政府層級。
舉例而言,即有協助電網和水資源/廢水系統的防禦規定,輔助強化其抵禦勒索軟體和其他網路攻擊之能力。經費補助也可用來支援獲核網路安全計畫送件的必要步驟,例如執行漏洞評估、惡意軟體分析或威脅偵測。
若要取得經費補助資格,必須將網路安全計畫送交DHS審查,並於其內容中詳載偵測與應對網路攻擊之技術能力與協定。此計畫需合乎某些基礎標準。(更多詳細資訊,將在發布時提供)。洛克威爾自動化的網路安全評估和規劃協定係以識別、保護、偵測、回應和復原等類別實現高效網路安全的NIST框架為基石,可為您循序漸進開展的理想選擇。
關鍵基礎設施的網路安全:公民責任
顯而易見,此時是該為政府機關和私營機構挺身而出的時機,共同減輕關鍵基礎設施營運的網路安全風險。前方唯一的阻礙是停滯不前。
洛克威爾自動化致力於為關鍵基礎設施產業提供助力,透過基礎建設投資和就業法案實現經費補助。了解更多您可立即採行哪些步驟與整裝待發。
