Mit spärlichen Details ringen Anbieter um den Sinn von Bidens 100-Tage-Plan für Netzsicherheit

Cyber Security News

Ein Techniker überwacht die Strompegel vor einem riesigen Bildschirm, der das Stromübertragungsnetz in einem Kontrollzentrum in Berlin, Deutschland, zeigt. Die Biden-Administration startete am Dienstag einen, wie sie es nannte, “kühnen” 100-Tage-Sprint zur Verbesserung der Cybersicherheit von Stromversorgern. (Foto: Sean Gallup/Getty Images)

Die Biden-Administration startete am Dienstag einen, wie sie es nannte, “kühnen” 100-Tage-Sprint, um die Cybersicherheit von Stromversorgern zu verbessern. Der Plan wurde nicht in vollem Umfang für die Öffentlichkeit freigegeben, oder für viele Anbieter, die bei der Verwirklichung der wichtigsten Ziele instrumental sein könnten.

Eine Pressemitteilung des Energieministeriums beschreibt den Plan in allgemeinen Worten. Im Großen und Ganzen, es “[e]ncourages owners and operators [of industrial control systems] Maßnahmen oder Technologien zu implementieren, die ihre Erkennungs-, Schadensbegrenzungs- und forensischen Fähigkeiten verbessern”, wobei ein besonderer Schwerpunkt auf der Verbesserung der OT-Sichtbarkeit liegt. Der Plan schafft auch “konkrete Meilensteine” innerhalb der 100-Tage-Frist, um die Sichtbarkeit zu erhöhen und Echtzeitanalysen zu erstellen.

“Es liegt an der Regierung und der Industrie, mögliche Schäden zu verhindern – deshalb arbeiten wir zusammen, um diese entscheidenden Maßnahmen zu ergreifen, damit sich die Amerikaner auf ein widerstandsfähiges, sicheres und sauberes Energiesystem verlassen können”, sagte Energieministerin Jennifer Granholm in einer Erklärung, die die Pressemitteilung begleitet.

Die Pressemitteilung enthielt keine wichtigen Details, wie z. B. was diese Meilensteine sind, oder einen spezifischen Zeitplan für ihre Erfüllung. Das heißt, Menschen, die den Plan gesehen haben, wie Dragos Gründer und CEO Robert M. Lee, lobte den Plan für die Überwindung der Fallstricke der früheren industriellen Sicherheit schiebt.

Zum einen, sagte er, der Plan ist spezifisch für die operative Technologie.

In der Vergangenheit, “wenn der Kongress, der Präsident und alle anderen sagten, ‘geh und schütze kritische Infrastrukturen – bitte – es ist ein nationales Sicherheitsrisiko’, schützten all diese CIOs und CSOs das Unternehmen der kritischen Ressourcen”, sagte Lee gegenüber SC Media. “Nun, warten Sie mal ab. Was sie zu kritischen Infrastrukturen macht, sind die Kontrollsysteme.”

Und wo frühere Bemühungen und Anleitungen die Verhinderung von Angriffen betonten, sagte Lee, dass der 100-Tage-Plan die Erkennung und Reaktion betont. Er schätzt, dass etwa 90 % der Kunden, die vor der Beauftragung von Dragos als ausgereift galten, keine Sicht auf OT-Netzwerke hatten, bevor Dragos an Bord kam, und nur 5 % der Infrastruktur hatten landesweit irgendeine Art von Sichtbarkeit.

“Das kann sich so anhören, als seien sie inkompetent. Das sind sie aber nicht”, sagte er. “Wenn Sie sich tatsächlich alle Frameworks und Best Practices und NIST und NERC ansehen [standards]und die Ratschläge von DHS und ICS CERT anschaut, ist alles Prävention. Anwendungssicherheit, Whitelisting, Firewalls, Authentifizierung, Antivirus, Segmentierung – alles [critical infrastructure companies] wird als Prävention bezeichnet.”

Lee scheint zu einer Minderheit zu gehören, die den Plan tatsächlich gesehen hat. SC Media sprach mit sieben großen Anbietern, die im Bereich OT-Sicherheit tätig sind und noch keinen Plan gesehen haben. Mehrere sagten, dass dies nicht an einem Mangel an Bemühungen lag. Ein Vertreter des Energieministeriums verwies SC Media auf die Pressemitteilung, als er nach dem vollständigen Plan gefragt wurde, und reagierte nicht auf eine Anfrage nach weiteren Details. Der Nationale Sicherheitsrat, der eine Erklärung veröffentlicht, die den Plan lobt, und die Agentur für Cybersicherheit und Infrastruktursicherheit des Ministeriums für Innere Sicherheit, deren stellvertretender Direktor für Cybersicherheit den 100-Tage-Plan in Bemerkungen am Dienstagmorgen erwähnte, verwiesen beide SC Media an das Energieministerium.

Eric Goldstein, der stellvertretende Direktor der CISA für Cybersicherheit, erwähnte die 100-Tage-Sprints bei einer ICS-Sicherheitsveranstaltung der Behörde, um sie von den kürzlich angekündigten 60-Tage-Cybersicherheitssprints des Heimatschutzes zu unterscheiden.

“Das Ziel dieser DHS-Cyber-Sprints ist es, die 100-Tage-Pläne zu ergänzen, die von der Biden-Harris-Administration geleitet werden”, sagte er.

Das DHS zielt auf Sprints zu Themen wie Ransomware und Arbeitskräfte, während das Weiße Haus Sektoren wie Elektrizität oder Wasser ins Visier nimmt.

Während sich der Plan des Weißen Hauses auf die Endnutzer von Infrastrukturgeräten konzentriert, sagte Chris Grove, Network Evangelist bei Nozomi Networks, dass die Nutzer nur die Hälfte des Problems seien.

“Sie sind gezwungen, etwas zu sichern, das nicht wirklich dafür gebaut wurde, um sicher zu sein, und zwar gegen staatliche Angreifer und fortschrittliche anhaltende Bedrohungen”, sagte er.

In der Tat steht die Infrastruktursicherheit vor Herausforderungen, die mit der Lebensdauer der Systeme zusammenhängen, die industrielle Aufgaben erfüllen, die oft ein Jahrzehnt betragen kann. Endanwender profitieren nur, wenn sie aufrüsten, und ein frühzeitiges Upgrade ist kostspielig.

Zusammen mit der Ankündigung des 100-Tage-Plans wurde auch ein Request for Information (RFI) zur Sicherheit der Lieferkette im Energiesektor veröffentlicht, da die Biden-Administration die Politik der Trump-Ära aktualisieren möchte. Kommentare werden am 7. Juni fällig. Dieses Detail ist ermutigend, sagte Grant Geyer, Chief Product Officer bei Claroty.

“Aus dem RFI geht klar hervor, dass die Administration einen politisch ausgewogenen und wohlüberlegten Ansatz zur Verbesserung der Cyber-Sicherheitsüberlegungen für das Stromnetz sucht.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com