Nationaler Infrastrukturplan könnte unsichere Altgeräte ersetzen, aber auch CISA belasten

Cyber Security News

Nachdem Präsident Biden seinen “American Rescue Plan” (hier abgebildet) vorgestellt hat, handelt es sich bei dem “American Jobs Plan” um eine nationale Infrastrukturinitiative, die darauf abzielt, das Stromnetz zu modernisieren, die Lieferketten in den USA zu sichern und die Fertigung wiederzubeleben. Solche ehrgeizigen Ziele werden sich spürbar auf die Cybersicherheit auswirken. (Foto: Stefani Reynolds-Pool/Getty Images)

Präsident Biden kündigte am Mittwoch einen 2-Billionen-Dollar-Infrastrukturplan an, der eine breite Palette von Ausgabenzielen enthält – von der Reparatur von Straßen und Brücken über den Aufbau eines landesweiten Netzes zum Aufladen von Elektrofahrzeugen bis hin zur Ökologisierung des Stromnetzes und dem Wiederaufbau von Schulen. Die Cybersicherheit wurde nicht ausdrücklich als Teil des Infrastrukturplans erwähnt, aber das wird nicht verhindern, dass der Plan tiefgreifende Auswirkungen auf die Cybersicherheit hat.

Bidens “American Jobs Plan” kommt, während Bedenken über eine “überlastete, unterbesetzte” Cybersecurity and Infrastructure Security Agency (CISA) im Zentrum des Reaktionssystems der Bundesregierung aufkommen. Doch auch ohne ein Cybersecurity-Mandat als Teil des Gesetzentwurfs glauben Experten für kritische Infrastrukturen, dass der bloße Austausch veralteter Geräte einen sofortigen Schub für die industrielle Cybersicherheit bedeuten könnte.

“Im Moment ist die Regierung im Bereich der Cybersicherheit so deutlich unterfinanziert, dass man zumindest damit anfangen muss, etwas Geld dahinter zu stecken. Weniger als 2 Milliarden Dollar für CISA und 10 Milliarden Dollar für Cyber Command sind nicht genug”, sagte Tatyana Bolton.

“Sie wollen in der Lage sein, das Fundament eines Hauses zu bauen, bevor Sie anfangen, Fensterbalancen hinzuzufügen und Wandleuchter an den Wänden anzubringen”, sagte sie.

Das Infrastrukturgesetz enthält viele dieser Wandleuchten. Es zielt darauf ab, 20.000 Meilen von Straßen und 10.000 Brücken zu reparieren, den öffentlichen Nahverkehr zu modernisieren und EV-Ladestationen zu schaffen. Es soll landesweites Breitband einführen, das Stromnetz wetterfest machen und grün machen und die Wassersysteme verbessern, sowie “die Produktion wiederbeleben, die US-Lieferketten sichern, in Forschung und Entwicklung investieren und Amerikaner für die Jobs der Zukunft ausbilden”, so ein vom Weißen Haus herausgegebenes Informationsblatt.

Die Ambitionen des Gesetzes, sagte Bolton, sind wichtig. Aber ebenso wichtig ist es, sicherzustellen, dass die Regierung bereit ist, diese Zunahme der Arbeitsbelastung zu bewältigen.

Separat, auf einer virtuellen Konferenz, die von RSA am Mittwoch veranstaltet wurde, skizzierte Homeland Security Secretary Alejandro Mayorkas drei 60-tägige “Sprints” in der Cybersicherheit für CISA, die alle einen Einfluss auf die Infrastruktur haben werden. Der erste Sprint wird sich auf die Eindämmung von Ransomware konzentrieren (“Lassen Sie es mich klar sagen: Ransomware stellt jetzt eine nationale Sicherheitsbedrohung dar”, sagte er), der zweite wird sich auf die Lücke bei den Arbeitskräften konzentrieren, und der dritte – der für die wachsende Infrastruktur am relevantesten ist – wird sich auf industrielle Kontrollsysteme konzentrieren.

Die Sprints sind unabhängig von der Arbeitsbelastung, die durch den neuen Infrastrukturplan für CISA entstehen könnte.

“Sie sind überwältigt”, sagte Tom Kellermann, Leiter der Cybersecurity-Strategie bei VMware. Kellermann war bereits in mehreren Funktionen für Cybersicherheit auf Bundesebene tätig und steht in Kontakt mit Mitarbeitern der Behörde. “Es gibt dort einen Mangel an Humankapital. Und, offen gesagt, ist ihr Budget im Vergleich zu der anstehenden Aufgabe verschwindend gering.”

Kellermann sagte, dass jedes Infrastrukturgesetz Mittel für die CISA enthalten sollte, einschließlich Gehaltsbefreiungen, um die eigene Belegschaft davon abzuhalten, in den privaten Sektor zu wechseln. Er fügte hinzu, dass eine Erhöhung der Stromnetzinfrastruktur von mehr Regulierungsbefugnissen für NERC (North American Electric Reliability Corporation) und FERC (Federal Energy Regulatory Commission) und einer Drohjagdbefugnis für CISA begleitet werden sollte.

Und alle Infrastrukturprogramme könnten ihre eigenen sektorspezifischen Cybersicherheitsanforderungen rechtfertigen. Die Modernisierung der Verkehrs- und öffentlichen Transportsysteme könnte beispielsweise neue Richtlinien oder Kontrollen erfordern, um die Ausnutzung von Einbrüchen in Smart-City-Systeme zu verhindern.

Obwohl Bidens Vorschlag die Cybersicherheit nicht explizit erwähnt, spricht er die Widerstandsfähigkeit der Stromnetze der Nation im Kontext von Naturkatastrophen an. In Anbetracht der früheren Rhetorik der Biden-Administration, branchenspezifische Bedenken innerhalb eines Jahres anzugehen, glaubt Tobias Whitney, Vizepräsident für Energiesicherheitslösungen bei Fortress Security und ehemaliger Senior Manager für die Sicherheit kritischer Infrastrukturen bei NERC, dass das Weglassen der Cybersicherheit Absicht war.

“Es war für mich nicht sonderlich überraschend, dass es zumindest von Anfang an keinen ausdrücklichen Fokus auf die Cybersicherheit gab”, sagte er. Ich denke jedoch, dass es eher einen impliziten Fokus gibt, um sicherzustellen, dass wir kritische Infrastrukturen schützen, dass wir uns auf die Widerstandsfähigkeit konzentrieren.”

Neuere Technologie könnte ein Segen für die Sicherheit sein, aber sie kann auch gegen einige der Dogmen verstoßen, die mit der industriellen Steuerungssicherheit verbunden sind.

“Ein enormer Teil des Cyber-Risikos für kritische Infrastrukturen ist auf veraltete Technologien zurückzuführen”, sagt Grant Geyer, Chief Product Officer beim Anbieter von Infrastruktursicherheit Claroty.

“Selbst ohne spezifische, für die Cybersicherheit vorgesehene Bestimmungen wäre eine Investition in die Verbesserung der veralteten Infrastruktur eine nicht triviale Möglichkeit, viele seit langem bestehende Herausforderungen anzugehen, die die Widerstandsfähigkeit bedrohen”, so Geyer weiter.

Neuere Geräte sind leichter zu härten, aber die zunehmenden Funktionalitäten – insbesondere Cloud-basierte Plattformen – schaffen eine wachsende Anzahl von zu sichernden Fronten.

Doch jegliche Vorteile für die Sicherheit könnten sich mit der Zeit verflüchtigen, so Geyer, wenn nicht zusätzlich in die Schaffung neuer Arbeitskräfte und die Wartung und kontinuierliche Härtung der Infrastruktur investiert wird.

“Der Teufel steckt im Detail”, sagte Geyer. “Sonst landen wir nach einigen Jahren wieder in der gleichen Situation.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com