Sistem air, kesehatan, dan energi kita semakin rentan terhadap serangan cyber.
Sekarang, saat ketegangan meningkat, seperti kapan Amerika Serikat membom fasilitas nuklir di Iran Bulan ini: Keamanan sistem ini menjadi perhatian utama. Jika konflik meledak, kita bisa berharap itu menjadi pertempuran “hibrida”, Joshua CormanEksekutif Residence untuk Keamanan Publik dan Ketahanan di Institut Keamanan dan Teknologi (ISTS) memberi tahu Anda Tepi.
“Dengan konektivitas yang hebat muncul tanggung jawab besar.”
Battlefields sekarang meluas ke dunia digital, yang pada gilirannya membuat infrastruktur kritis di dunia nyata menjadi tujuan. Pertama saya menghubungi IST untuk pengalamannya dalam masalah ini pada tahun 2021, ketika serangan ransomware memaksa Pipa kolonial – Sebuah arteri penting yang mengangkut hampir setengah dari pasokan bahan bakar timur – offline selama hampir seminggu. Sejak itu, Tepi juga telah mencakup a Upite dalam serangan cyber terhadap sistem air masyarakat Di Amerika Serikat dan negara -negara Amerika Serikat Upaya frustrasi serangan Didukung oleh pemerintah lain.
Bukan saatnya panik, Corman meyakinkan saya. Tetapi penting untuk menilai kembali bagaimana kita melindungi rumah sakit, persediaan air, dan kehidupan serangan siber lainnya. Ternyata ada solusi analog yang lebih bergantung pada rekayasa fisik daripada menempatkan firewall cybernetic.
Wawancara ini telah diedit oleh panjang dan kejelasan.
Sebagai seseorang yang bekerja dalam keamanan siber untuk air dan air limbah, perawatan medis, rantai pasokan makanan dan sistem energi, apa yang membuatnya terjaga di malam hari?
Oh, nak. Ketika dia melihat apa yang kita tunjuk sebagai fungsi kritis Lifeline, kebutuhan dasar manusia (air, perlindungan, keamanan) adalah di antara beberapa dari kita yang paling terbuka dan sedikit disiapkan. Dengan konektivitas yang hebat muncul tanggung jawab besar. Dan sementara kami berjuang untuk melindungi kartu kartu kredit, situs web, atau data, kami terus menambahkan perangkat lunak dan konektivitas ke infrastruktur hidup seperti air dan energi dan rumah sakit.
Kami selalu menjadi mangsa. Kami hanya selamat dari selera predator kami, dan mereka menjadi lebih agresif.
Seberapa rentan sistem ini di Amerika Serikat?
Ada kemungkinan bahwa saya telah melihat peningkatan ransomware dari 2016. Rumah sakit dengan cepat menjadi target favorit ransomware nomor satu karena mereka adalah apa yang saya sebut “tujuan kaya, tetapi cybernetic yang buruk.” Kurangnya ketersediaan layanan Anda cukup serius, sehingga kurangnya ketersediaan dapat dimonetisasi dengan sangat mudah.
Anda memiliki jenis asimetri dan kurung makan gratis ini, di mana menarik dan mudah untuk menyerang fungsi -fungsi Lifeline ini. Tetapi sangat sulit untuk mendapatkan personel, sumber daya, pelatihan, anggaran, mempertahankan fungsi -fungsi Lifeline ini.
Jika Anda adalah pusat air pedesaan kecil, Anda tidak memiliki anggaran keamanan siber. Kami sering melakukan topik ‘Just Lakukan Praktik Terbaik, Lakukan saja Marco nist. ‘Tetapi mereka bahkan tidak bisa berhenti menggunakan teknologi di akhir kehidupan dan tanpa dukungan dengan kata sandi yang dikodekan.
“Anda memiliki jenis asimetri dan umpan gratis ini
Sekitar 85 persen pemilik dan operator dari entitas infrastruktur kritis ini dari Lifeline yang kaya dan tujuan cybernetic.
Ambil sistem air, misalnya. Topan Voltio Telah berhasil ditemukan dengan sukses mengkompromikan fasilitas air AS dan fungsi layanan garis hidup lainnya, dan duduk di sana, preposisi. [Editor’s note: Volt Typhoon is a People’s Republic of China state-sponsored cyber group]
China secara khusus memiliki Niat menuju Taiwan di tahun 2027. Pada dasarnya mereka ingin Amerika Serikat tetap di luar niat mereka terhadap Taiwan. Dan jika tidak, mereka bersedia mengganggu dan menghancurkan bagian -bagian dari proposal ini dan fasilitas yang sangat rawan. Mayoritas yang luar biasa tidak memiliki orang cybernetic tunggal, dia belum pernah mendengar tentang topan Volt, apalagi untuk mengetahui apakah mereka harus membela diri dan bagaimana mereka harus membela diri. Anggaran juga tidak ada.
Di antara berita terbaru dan pendakian dengan Iran, adakah yang lebih rentan saat ini? Apakah ada risiko unik yang diusulkan Iran untuk Amerika Serikat?
Baik Rusia, Iran atau Cina, semuanya telah menunjukkan bahwa mereka bersedia dan dapat mencapai fasilitas air, jaringan listrik, rumah sakit, dll. Saya lebih peduli tentang air. Tanpa air, itu berarti tidak ada rumah sakit dalam waktu sekitar empat jam. Setiap kehilangan tekanan di zona tekanan rumah sakit berarti tidak ada penindasan kebakaran, tanpa scrub bedah, tanpa sanitasi, tanpa hidrasi.
Apa yang kami miliki adalah meningkatkan paparan di mana kami menawarkan diri kami dengan infrastruktur yang cerdas dan terhubung. Kami menginginkan manfaatnya, tetapi kami belum membayar harganya. Dan itu baik -baik saja ketika ini terutama kegiatan kriminal. Tetapi sekarang titik akses ini dapat digunakan dalam senjata perang, gangguan yang cukup parah dapat dilihat pada infrastruktur sipil.
Sekarang, hanya karena Anda bisa memukulnya, itu tidak berarti Anda akan memukulnya, bukan? Saya tidak mendorong panik saat ini tentang Iran. Saya pikir mereka cukup sibuk, dan jika mereka akan menggunakan kemampuan cyber itu, itu adalah asumsi yang lebih aman yang akan menggunakannya terlebih dahulu di Israel.
Predator yang berbeda memiliki nafsu makan, mangsa, dan motif yang berbeda.
Kadang -kadang disebut Access Brokering, di mana mereka mencari komitmen dan sedang menunggu bertahun -tahun. Seperti dalam infrastruktur kritis, orang tidak memperbarui tim mereka, menggunakan hal -hal yang sangat lama. Jika Anda pikir Anda akan memiliki akses itu untuk waktu yang lama, Anda dapat duduk dan menunggu dengan sabar sejauh ini dan tempat pilihan Anda.
Pikirkan ini sedikit seperti Star Wars. Port pelarian termal di The Death Star adalah bagian yang lemah. Jika Anda memukulnya, Anda melakukan banyak kerusakan. Kami memiliki banyak port knalpot termal di semua air dan perhatian medis secara khusus.
Apa yang harus dilakukan sekarang untuk mengurangi kerentanan ini?
Kami mendorong sesuatu yang disebut Teknik Cyber.
Apa yang kami temukan adalah bahwa jika pemasangan air terganggu, perubahan yang tiba -tiba dalam tekanan air dapat menyebabkan gelombang air yang sangat luar biasa dan berbahaya yang dapat mengeksploitasi pipa. Jika air utama air untuk ledakan rumah sakit, tidak akan ada tekanan air di rumah sakit. Jadi, jika Anda ingin: “Mari kita pastikan bahwa Tentara Tiongkok tidak dapat mengkompromikan instalasi air,” dia harus melakukan sedikit keamanan siber atau memutuskan itu.
Sebaliknya, apa yang kami dorong adalah sesuatu yang jauh lebih akrab, praktis. Seperti di rumah, Anda memiliki sakelar sirkuit, jadi jika ada terlalu banyak tegangan, putar sakelar alih -alih membakar rumah. Kami memiliki setara dengan sakelar sirkuit untuk air, yang mungkin $ 2.000, mungkin kurang dari $ 10.000. Mereka dapat mendeteksi peningkatan tekanan dan mematikan pompa untuk menghindari kerusakan fisik. Kami mencari mitigasi analog rekayasa fisik.
“Pikirkan ini sedikit seperti Star Wars. “
Jika Anda ingin mengurangi probabilitas komitmen, tambahkan cybersecurity. Tetapi jika Anda ingin mengurangi konsekuensi Komitmen, Anda menambahkan rekayasa.
Jika konsekuensi terburuk adalah serangan yang berbahaya secara fisik, kami ingin mengambil tindakan praktis yang terjangkau dan keluarga. Tanaman air tidak tahu cybernetic, tetapi mereka tahu rekayasa. Dan jika kita dapat bertemu mereka di rumput mereka dan membantu menjelaskan konsekuensinya dan kemudian memasak mitigasi yang terjangkau, realistis, dan temporal, kita dapat bertahan cukup untuk berinvestasi dengan benar dalam keamanan siber nanti.
Lembaga federal di bawah pemerintahan Trump Pemotongan anggaran dan staf yang dihadapiApakah itu menyebabkan kerentanan yang lebih besar juga? Bagaimana hal itu mempengaruhi keamanan infrastruktur kritis kita?
Terlepas dari kebijakan individu orang, ada a Perintah Eksekutif dari Gedung Putih pada bulan Maret yang mengubah lebih banyak keseimbangan kekuasaan dan tanggung jawab kepada negara bagian untuk melindungi diri mereka sendiri, untuk ketahanan keamanan siber. Dan ini adalah momen yang sangat disayangkan mengingat konteks di mana kita berada dan itu akan membutuhkan waktu untuk melakukannya dengan aman dan efektif.
Saya pikir, tanpa kedengkian, telah ada pertemuan faktor -faktor lain yang berkontribusi yang memperburuk situasi. Beberapa Pemotongan anggaran CisaItu adalah koordinator nasional di sektor -sektor ini, itu tidak bagus. Dia Pusat Analisis dan Analisis Informasi untuk beberapa negara bagian Ini adalah sumber utama untuk membantu negara bagian melayani diri mereka sendiri, dan itu juga Dia kehilangan pembiayaannya. Dan sejauh ini, Senat belum mengkonfirmasi a Direktur CISA.
Kita harus meningkatkan asosiasi publik swasta kita, asosiasi kita di tingkat federal dan negara bagian dan tampaknya ada perjanjian bipartisan dalam hal ini. Namun, di semua area, EPA, Kesehatan dan Layanan Kemanusiaan, Departemen Energi Dan Cisa Mereka mengalami pengurangan yang signifikan dalam anggaran dan staf dan kepemimpinan. Masih ada waktu untuk memperbaikinya, tetapi kita membakar siang hari dalam apa yang saya lihat sebagai jumlah waktu yang sangat kecil untuk membentuk rencana, mengomunikasikan rencana tersebut dan melaksanakan rencana tersebut.
Apakah kita menginginkan ini atau tidak, lebih banyak tanggung jawab atas ketahanan dunia maya dan pertahanan dan fungsi kritis adalah jatuh di Amerika Serikat, kabupaten, kota, orang. Sekarang adalah waktu untuk mendidik dan ada konstelasi masyarakat nirlaba dan sipil; Salah satunya adalah pekerjaan bagus yang kami lakukan dengan ini. Indrollable27.orgTapi kami juga berpartisipasi dalam kelompok yang lebih besar bernama Pertahanan Sipil Cybernetic. Dan baru -baru ini kami meluncurkan grup yang disebut Ketahanan dunia mayaYang merupakan platform bagi siapa saja yang ingin menjadi sukarela untuk membantu dengan keamanan siber untuk layanan kecil, menengah, pedesaan atau penjaga pantai. Ini juga merupakan tempat bagi orang untuk menemukan dan meminta para sukarelawan ini. Kami berusaha mengurangi gesekan meminta bantuan dan mencari bantuan.
Saya pikir ini adalah salah satu momen dalam cerita di mana kita menginginkan dan membutuhkan lebih banyak pemerintahan, tetapi kavaleri tidak datang. Itu akan jatuh cinta pada kita.
