Colonial Pipeline führte zu einem Cyber-Auftrag für Branchenbetreiber. Wird JBS zu mehr führen?

Cyber Security News

Das JBS-Fleischverpackungswerk in Greeley, Colorado. (Foto: Matthew Stockman/Getty Images)

Weniger als eine Woche, nachdem die Transportation Security Administration auf die Abschaltung der Colonial Pipeline mit einer bahnbrechenden Anordnung für Öl- und Gaspipelines zur Einhaltung von Cybersicherheitsregeln reagierte, wurde der Betrieb des großen Lebensmittelherstellers JBS durch einen eigenen Cyberangriff unterbrochen. Die Regierung der Vereinigten Staaten hat sich traditionell mit dem Thema Cybersicherheit auf der Basis einzelner Sektoren beschäftigt. Wie reagiert sie auf ein Problem, das die Branchengrenzen überschreitet?

JBS ist der weltweit führende Anbieter von Fleisch, operiert in sechs Ländern und produziert 32 Milliarden Pfund pro Jahr. Es gab am Montag bekannt, dass ein “organisierter Cyberangriff … bestimmte Transaktionen mit Kunden und Lieferanten verzögern kann.” Es ist unklar, was die Beweggründe für den Cyberangriff waren, ob finanziell oder anderweitig, aber der Vorfall lässt viele fragen, wie Regierung und Industrie gleichermaßen die zunehmend eklatanten Sicherheitslücken in kritischen Infrastrukturen besser angehen können.

“Die letzten Monate haben uns gezeigt, dass wir sowohl im öffentlichen als auch im privaten Sektor nicht die Arbeit getan haben, die wir tun müssen, um kritische IT-Netzwerke vor Cyberangriffen zu schützen, die in Zukunft nur häufiger und komplexer werden”, sagte Senator Mark Warner, D-Va. gegenüber SC Media per E-Mail. “Als Vorsitzender des Geheimdienstausschusses des Senats werde ich weiterhin mit der Biden-Administration zusammenarbeiten, um unsere Verteidigung in unserer kritischen Infrastruktur und anderen Sektoren zu verstärken.”

Die Tatsache, dass es andere Anbieter von Fleisch gibt, bedeutet, dass ein Ausfall an einem Knotenpunkt der Lieferkette nicht sofort so schlimm ist wie die Colonial Pipeline, die den wichtigsten Durchgang für Benzin an der Ostküste verschließt. Aber der Lebensmittelsektor ist aus gutem Grund eine der Branchen, die von der Bundesregierung als kritisch eingestuft werden.

“Die Menschen wollen essen”, sagte Meg King, Direktorin des Wilson Center’s Science and Technology Innovation Program.

In der Tat, die Regierung erkennt 16 kritische Infrastruktursektoren an. Die Biden-Administration hat nur für einen Aspekt eines dieser Sektoren – Pipelines – regulatorische Maßnahmen ergriffen, wobei eine Durchführungsverordnung industriegeführte Änderungen für einen zweiten – das Stromnetz – vorschlägt. Aber die Bedrohungen gehen weit über Gas und Strom hinaus. Vor Colonial und JBS wurde eine Wasseraufbereitungsanlage in Oldsmar, Florida, von Hackern angegriffen, die versuchten, die Wasserversorgung zu vergiften.

Für die Regierung kann es jedoch äußerst schwierig sein, Cybersecurity-Probleme in mehreren Branchen gleichzeitig sinnvoll anzugehen.

“Wenn der Kongress die beste Option ist, haben wir ein paar größere Probleme”, sagte King, selbst eine ehemalige Hill-Mitarbeiterin. “Dies ist ein Problem, das sektorübergreifend ist, was für den Kongress wegen der Zuständigkeit wirklich schwierig ist.”

Zur gleichen Zeit, mit verschiedenen Bundesbehörden, die dazu bestimmt sind, die verschiedenen Belastungen der kritischen Infrastruktur zu beaufsichtigen, die jeweils mit unterschiedlichen regulatorischen Einschränkungen arbeiten und mit unterschiedlichen Cybersicherheitsbedenken konfrontiert sind, wäre ein koordinierter Schritt nach vorne von der Biden-Administration über alle Sektoren hinweg auch sehr schwierig.

Am Dienstagmorgen schlug Senator Angus King, I-Maine, dem Kongress einen Vorschlag vor, der den Prozess vereinfachen würde: die Anerkennung einer neuen Klassifizierung der “systemisch wichtigen kritischen Infrastruktur” (SICI), um die kritischsten der kritischen Infrastrukturen zu definieren. Die Cybersecurity Solarium Commission, deren Vorsitz Angus King innehat, schlug vor, dass SICI ein größerer Zugang zu Regierungsressourcen gewährt wird, während sie gleichzeitig zusätzlichen Sicherheitsanforderungen unterliegt.

“Wir haben immer wieder Weckrufe und wir wachen nicht auf”, sagte er auf CNBC. “Jetzt ist es die Lebensmittelversorgung. Vor einem Monat waren es die Brennstoffe. Als nächstes könnte es die Energie sein. Es könnte das Transportwesen sein, es könnte der Finanzsektor sein. Und wir müssen wirklich unsere Antworten ausbauen.”

Während die Solarium-Kommission im letzten Jahr mehr als zwei Dutzend Vorschläge in ein Gesetz überführen konnte, wurde SICI auf der diesjährigen RSA-Konferenz von ehemaligen Kommissaren, darunter die Gesetzgeber Reps. Mike Gallagher, R-Wisc. und Jim Langevin, D-N.H., als eine der Prioritäten für das kommende Jahr.

“Die SICI-Gesetzgebung würde jemanden, vermutlich die [Cybersecurity and Infrastructure Security Agency] oder DHS, mit der Autorität, Anforderungen aufzuerlegen”, sagte Suzanne Spaulding, eine Solarium-Beauftragte, Direktorin des Programms zur Verteidigung demokratischer Institutionen am Center for Strategic and International Studies und ehemalige Leiterin des Vorgängers von CISA, des National Protection and Programs Directorate.

Spaulding merkte an, dass viele der Ideen, die in der TSA-Verordnung für die Sicherheit von Pipelines eng ausgelegt wurden, leicht auf eine große Bandbreite extrem kritischer Infrastrukturen angewendet werden könnten. Tatsächlich, so Spaulding, habe man sich während ihrer Zeit beim NPPD inoffiziell um etwas Ähnliches bemüht, nachdem Obamas Executive Order 13636 das NPPD dazu veranlasst hatte, eine Liste von Infrastrukturen zu erstellen, bei denen ein Cyberangriff die katastrophalsten Auswirkungen haben würde.

“Ich schrieb einen Brief an die CEOs all dieser Einrichtungen und sagte: ‘Bitte benennen Sie einen Ansprechpartner, mit dem wir zusammenarbeiten können.’ Die Idee, dass diese kritischen Funktionen wie Colonial Pipeline, einen PoC für CISA 24/7 haben müssen, scheint also ziemlich grundlegend zu sein”, sagte sie.

Das heißt, es besteht ein Risiko, wenn die Regierung die Infrastruktur zu allgemein behandelt, sagte Tobias Whitney, ehemaliger Senior Manager für den Schutz kritischer Infrastrukturen bei der North American Electric Reliability Corporation, der Industriegruppe, die Regulierungsstandards für Energieunternehmen festlegt. Verschiedene Infrastrukturen haben unterschiedliche Sicherheitsbedürfnisse.

Jede Vorschrift pauschal anzugehen, könnte zu einem Sicherheitsprogramm führen, das “mit Anforderungen verwässert wird, die nicht unbedingt für den Sektor relevant sind”, sagte er.

“Aber ich kann definitiv auch die andere Seite der Gleichung verstehen”, fügte Whitney hinzu. “Wir sehen immer mehr Angriffe auf das Backoffice und IT-Netzwerke. In Anbetracht einiger dieser Ähnlichkeiten könnte es Sinn machen, einige gezielte Aktionen durchzuführen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com