Colonial Pipeline Co. vyslalo loni na jaře vlnu paniky z Texasu do New Jersey, když se manažeři společnosti rozhodli, jak zareagují na hackery: Uzavřili potrubí, čímž přerušili tok benzínu a dalších paliv do Východní pobřeží.
Colonial CEO Joseph Blount svědčil před Kongresem, že rozhodnutí muselo být učiněno. Kdyby se zákeřná forma malwaru dostala z obchodních počítačů Colonialu do řídicí technologie potrubí, řekl Blount, všechny sázky byly mimo. Nedostatek plynu, který trval týden, se mohl protáhnout na měsíce.
Květnové rozhodnutí uzavřít hlavní palivový kohout spustilo poplach v celém energetickém sektoru. Hack ovlivňující 5 500 mil dlouhý potrubní systém Colonial poskytl jasnou připomínku toho, jak snadno může skupina online zločinců, kteří chtějí snadno vydělat, podkopat energetický systém USA.
Colonial – nejvýraznější příklad americké zranitelnosti v digitálním věku pro rok 2021 – připravil půdu pro rok 2022, který by mohl přinést významné změny ve vládním dohledu a samokontrole průmyslu.
Po celá léta energetické společnosti všech kategorií odolávaly vládním mandátům v oblasti kybernetické bezpečnosti. To se v postkoloniální éře začíná měnit.
Bidenova administrativa zahájila několik iniciativ zaměřených na posílení kapacity federálních agentur pro řízení hrozby proti kritické infrastruktuře. Biden jmenoval Chrise Inglise národním kybernetickým ředitelem, který má za úkol koordinovat americkou strategii kybernetické bezpečnosti. A Bílý dům vydal exekutivní nařízení, které modernizuje federální digitální obranu.
Zde jsou čtyři trendy v oblasti kybernetické bezpečnosti, které je třeba v roce 2022 sledovat:
Ransomeware mor
Během několika krátkých let se ransomware proměnil ze středního zájmu na velký problém pro společnosti.
Útok ransomwarové skupiny DarkSide na ropovod Colonial vyústil v četná slyšení na Capitol Hill, která se ponořila do problémů kolem bezpečnosti energetické infrastruktury.
Ransomware sužuje vše od elektráren až po místní vládní agentury.
Elektrické družstvo v Coloradu bylo v listopadu zasaženo podezřelým ransomwarovým útokem, který vedl k 90% ztrátě vnitřních sítí (Energywire, 6. prosince 2021). Ve stejném měsíci byl větrný energetický gigant Vestas Wind Systems A/S zasažen kyberútokem (Energywire, 22. listopadu 2021).
Zdá se, že konec je v nedohlednu. Nedávná zpráva společnosti Mandiant, která se zabývá kybernetickou bezpečností, uvádí, že „podnikání s ransomwarem je prostě příliš lukrativní“, než aby ho kybernetičtí zločinci ignorovali. Mandiant také varoval, že kriminální hackeři budou v nadcházejícím roce pravděpodobně pokračovat ve zkoumání provozních technologií „a ve svých útocích budou stále více používat ransomware“.
Dar od bohů: Log4j
Konec roku 2021 završil rok plný historických výzev v oblasti kybernetické bezpečnosti. Zranitelnost objevená na začátku prosince v softwarové komponentě Log4j založené na Javě byla popsána Jen Easterlyovou, ředitelkou Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), jako „nejzávažnější zranitelnost, jakou jsem ve své desítky let trvající kariéře viděl“.
Ve společném varování FBI; CISA; Národní bezpečnostní agentura; a bezpečnostní agentury zastupující Austrálii, Kanadu, Nový Zéland a Spojené království varovaly, že „sofistikovaní aktéři kybernetických hrozeb aktivně skenují sítě, aby potenciálně zneužili“ zranitelnost Log4j. CISA také vydala nouzovou směrnici, která nařizuje, aby všechny federální agentury tuto zranitelnost do konce prosince opravily.
Log4j je všudypřítomná softwarová chyba zabezpečení, kterou lze snadno zneužít. Ale pro energetický sektor to není tak jednoduché jako nahrát nejnovější patch. Odborníci poznamenali, že může trvat měsíce až roky, než bude zranitelnost opravena a bude znám její úplný dopad (Energywire, 14. prosince 2021).
„Pokud používáte Hoover Dam nebo spouštíte chemický proces,“ řekl Chris Grove, stratég kybernetické bezpečnosti ve firmě Nozomi Networks, která se zabývá kybernetickou bezpečností, „pak jsou důsledky překonfigurování a restartování nebo dokonce získání přístupu k opravě větší a tím i riziko."
Bezpečnostní analytici tvrdí, že této zranitelnosti využívají známí hackeři. Podle Centra pro sdílení a analýzu informací o elektřině, bezpečnostní středisko energetického průmyslu, však energetický sektor ještě nezaznamenal útoky, které by mohly zhasnout světla.
Narušení dodavatelského řetězce a softwaru
Zranitelnost softwaru Log4j je pouze nejnovějším budíčkem pro energetický průmysl, který je závislý na globálních dodavatelských řetězcích ve všem, od bezpečnostního softwaru po solární panely.
Kyberšpionážní kampaň napojená na Rusko, která využívala software SolarWinds, přiměla v loňském roce Bílý dům k vydání výkonného příkazu zaměřeného na dodavatelský řetězec softwaru. Mimo jiné vyžaduje, aby dodavatelé softwaru poskytli to, čemu se říká softwarový kusovník – seznam součástí v softwaru podobný seznamu složek v receptu.
„Máme skvělý přehled o federálních sítích. Nemáme přehled o kritické infrastruktuře,“ řekl Easterly, ředitel CISA, během poradenského hovoru.
Softwarový kusovník je krokem k lepšímu pochopení toho, jaká rizika přináší software, ale není to nejlepší řešení, řekl Ron Brash, viceprezident technického výzkumu ve společnosti aDolus Technology Inc.
„Většina energetických společností, a to i těch velkých, nemá možnost se ani podívat na kusovník softwaru a zjistit, co je v ohrožení,“ řekl Brash.
Ministerstvo energetiky vydalo žádost o informace o řadě problémů globálního dodavatelského řetězce, z nichž jedním je kybernetická bezpečnost. Ale energetický sektor se od Trumpovy administrativy potýká s federálními politikami dodavatelského řetězce, z nichž některé pramení z obchodního napětí s Čínou.
„Je nesmírně pozitivní, že bereme tak široký pohled na dodavatelský řetězec a díváme se na konkurenční prostředí, abychom nemuseli nutně okamžitě, přes noc, odcizit určité země,“ řekl Tobias Whitney, viceprezident společnosti Fortress pro kybernetickou bezpečnost. Informační bezpečnost. "Myslím, že to byl problém se zákazem předchozí vlády."
Jim Cunningham, výkonný ředitel společnosti Protect Our Power, uvedl, že první polovina roku 2022 by mohla hodně říci o směřování federální politiky v otázkách dodavatelského řetězce.
Legislativa a mandáty
Členové Kongresu vydali v roce 2021 řadu zákonů zaměřených na posílení obrany USA proti hackerům. Část z nich skončila v zákoně o autorizaci obrany státu.
Oboustranný návrh zákona o kybernetických incidentech, který měl podle očekávání přistát v NDAA, však na poslední chvíli čelil překážce, když senátor Rick Scott (R-Fla.) vznesl námitku. Scott se obával, že požadavek na oznamování kybernetických incidentů by mohl být pro malé podniky zátěží. Nikdy se to nedostalo na účet.
Rep. Jim Langevin (D-R.I.), který nedávno oznámil, že se neuchází o znovuzvolení, řekl E&E News, že návrh zákona o oznamování kybernetických incidentů je jednou z jeho letošních priorit (Energywire, 19. ledna).
Norma Krayem, expertka na kybernetickou bezpečnost ze společnosti Van Scoyoc Associates, uvedla, že Kongres by se měl vrátit k mandátu pro podávání zpráv, který se vztahoval na elektrické společnosti. Poznamenala, že zákonodárci také zkoumají, jak nejlépe chránit infrastrukturu, která je pro americkou ekonomiku považována za superkritickou.
Snahy, které zákonodárci nazvali „systémově důležitá kritická infrastruktura“ a „primární systémově důležité subjekty“ CISA, budou zaměřeny na zajištění toho, aby páteř udržující chod americké ekonomiky měla jak zdroje, tak federální pozornost.
"Doufáme, že toto úsilí bude synchronizováno, ale existují očekávání, že tato nová kategorie bude mít nové regulační mandáty pro jakýkoli subjekt, který dostane toto označení," řekl Krayem.
Rep. John Katko (R-N.Y.) představil H.R. 5491, který by CISA opravňoval k identifikaci vlastníků a provozovatelů kritické infrastruktury. Easterly návrh zákona podpořil s tím, že agentura očekává, že se na seznam dostane 150 až 200 subjektů.