Colonial Pipeline Co. lähetti paniikkiaallon Texasista New Jerseyyn viime keväänä, kun yrityksen johtajat päättivät, miten he suhtautuisivat hakkereihin: He sulkivat putken ja katkaisivat bensiinin ja muiden polttoaineiden virtauksen Itärannikko.
Colonial-toimitusjohtaja Joseph Blount todisti kongressille, että päätös oli tehtävä. Jos salakavala haittaohjelma olisi kulkenut Colonialin yritystietokoneista putkilinjan ohjaustekniikkaan, Blount sanoi, että kaikki vedot olivat pois. Viikon kestänyt kaasupula olisi voinut venyttää kuukausia.
Toukokuussa tehty päätös suuren polttoaineputken sulkemisesta soitti hälytyskelloja koko energia-alalla. Colonialin 5 500 mailin pituiseen putkijärjestelmään vaikuttanut hakkerointi muistutti jyrkästi siitä, kuinka helposti online-rikollisten ryhmä, joka haluaa tienata helposti, voi heikentää Yhdysvaltain energiajärjestelmää.
Colonial – vuoden 2021 silmiinpistävin esimerkki Amerikan haavoittuvuudesta digitaaliaikana – loi pohjan vuodelle 2022, joka voi tuoda merkittäviä muutoksia hallituksen valvontaan ja alan itsevalvontaan.
Kaikentyyppiset energiayhtiöt ovat vuosien ajan vastustaneet hallituksen kyberturvallisuusvaltuuksia. Se alkaa muuttua siirtomaavallan jälkeisellä aikakaudella.
Bidenin hallinto käynnisti useita aloitteita, joiden tarkoituksena on vahvistaa liittovaltion virastojen valmiuksia hallita kriittiseen infrastruktuuriin kohdistuvaa uhkaa. Biden nimitti Chris Inglisin kansalliseksi kyberjohtajaksi, jonka tehtävänä oli koordinoida Yhdysvaltain kyberturvallisuusstrategiaa. Ja Valkoinen talo antoi toimeenpanomääräyksen liittovaltion digitaalisen puolustuksen uudistamisesta.
Tässä on neljä kyberturvatrendiä, joita kannattaa pitää silmällä vuonna 2022:
Runsomeware-rutto
Muutamassa lyhyessä vuodessa kiristysohjelmat muuttuivat keskimääräisestä huolenaiheesta suureksi ongelmaksi yrityksille.
DarkSide ransomware -ryhmän hyökkäys siirtomaa-putkilinjaan johti useisiin kuulemistilaisuuksiin Capitol Hillillä, jossa pohdittiin energiainfrastruktuurin turvallisuuteen liittyviä kysymyksiä.
Ransomware on vaivannut kaikkea sähkölaitoksista paikallishallinnon virastoihin.
Sähköosuuskunta Coloradossa joutui marraskuussa epäillyn kiristysohjelman hyökkäyksen kohteeksi, mikä johti 90 prosentin menettämiseen sisäisistä verkoista (Energywire, 6.12.2021). Saman kuukauden aikana tuulienergiajätti Vestas Wind Systems A/S joutui kyberhyökkäyksen kohteeksi (Energywire, 22.11.2021).
Näyttää siltä, että loppua ei näy. Kyberturvallisuusyhtiö Mandiantin tuoreessa raportissa todettiin, että "lunnasohjelmien liiketoiminta on yksinkertaisesti liian tuottoisaa", jotta kyberrikolliset eivät voi jättää huomiotta. Mandiant varoitti myös, että rikolliset hakkerit jatkavat todennäköisesti operatiivisen teknologian tutkimista tulevana vuonna "ja käyttävät yhä enemmän lunnasohjelmia hyökkäyksissään".
Jumalien lahja: Log4j
Vuoden 2021 loppupäässä vuosi oli täynnä historiallisia kyberturvallisuushaasteita. Cybersecurity and Infrastructure Security Agencyn (CISA) johtaja Jen Easterly kuvaili joulukuun alussa Java-pohjaisesta Log4j-ohjelmistokomponentista löydettyä haavoittuvuutta "vakavimmaksi haavoittuvuudeksi, jonka olen nähnyt vuosikymmeniä kestäneen urani aikana".
FBI:n yhteisessä hälytyksessä; CISA; Kansallinen turvallisuusvirasto; ja Australiaa, Kanadaa, Uutta-Seelantia ja Yhdistynyttä kuningaskuntaa edustavat turvallisuusvirastot varoittivat, että "kehittyneet kyberuhkatoimijat skannaavat aktiivisesti verkkoja hyödyntääkseen" Log4j-haavoittuvuutta. CISA antoi myös hätädirektiivin, jonka mukaan kaikki liittovaltion virastot korjaavat haavoittuvuuden joulukuun loppuun mennessä.
Log4j on kaikkialla esiintyvä ohjelmistohaavoittuvuus, jota voidaan helposti hyödyntää. Mutta energia-alalla se ei ole niin yksinkertaista kuin uusimman korjaustiedoston lataaminen. Asiantuntijat ovat huomauttaneet, että voi kestää kuukausia tai vuosia, ennen kuin haavoittuvuus korjataan ja sen koko vaikutus tiedetään (Energywire, 14.12.2021).
"Jos käytät Hoover Damia tai käytät kemiallista prosessia", sanoi Chris Grove, teollisen kyberturvallisuusyrityksen Nozomi Networksin kyberturvallisuusstrategi, "uudelleenkonfiguroinnin ja uudelleenkäynnistyksen tai jopa korjaustiedoston käytön seuraukset ovat suurempi, ja niin on myös riski."
Turvallisuusanalyytikot sanovat, että tunnetut hakkerit käyttävät hyväkseen haavoittuvuutta. Sähköalan tietoturvakeskuksen Electricity Information Sharing and Analysis Centerin mukaan energiasektori ei kuitenkaan ole vielä nähnyt hyökkäyksiä, jotka voisivat sammuttaa valot.
Toimitusketjun ja ohjelmistojen rikkomukset
Log4j-ohjelmiston haavoittuvuus on vasta viimeisin herätyshuuto energiateollisuudelle, joka on riippuvainen maailmanlaajuisista toimitusketjuista turvaohjelmistoista aurinkopaneeleihin.
Venäjään liittyvä kybervakoilukampanja, jossa hyödynnettiin SolarWinds-ohjelmistoa, sai Valkoisen talon viime vuonna antamaan toimeenpanomääräyksen, joka kohdistui ohjelmistojen toimitusketjuun. Se vaatii muun muassa ohjelmistotoimittajia toimittamaan niin sanotun ohjelmiston materiaaliluettelon – ohjelmiston komponenttien luettelon, joka on samanlainen kuin reseptin ainesosien luettelo.
"Meillä on hyvä näkyvyys liittovaltion verkkoihin. Meillä ei ole näkyvyyttä kriittiseen infrastruktuuriin”, CISA-johtaja Easterly sanoi neuvoa-antavan puhelun aikana.
Ohjelmiston materiaaliluettelo on askel kohti parempaa ymmärrystä ohjelmiston sisältämistä riskeistä, mutta se ei ole hopealuodi, sanoi Ron Brash, aDolus Technology Inc:n teknisen tutkimuksen varatoimitusjohtaja.
"Useimmilla energiayhtiöillä, edes suurilla, ei ole mahdollisuutta edes katsoa ohjelmistojen materiaaliluetteloa ja nähdä, mikä on vaarassa", Brash sanoi.
Energiaministeriö julkaisi tietopyynnön useista maailmanlaajuisista toimitusketjun ongelmista, joista yksi on kyberturvallisuus. Energiasektori on kuitenkin kamppaillut liittovaltion toimitusketjupolitiikkojen kanssa Trumpin hallinnosta lähtien, joista osa johtuu kauppajännitteistä Kiinan kanssa.
"On äärimmäisen myönteistä, että otamme niin laajan näkemyksen toimitusketjusta ja katsomme kilpailuympäristöä, jotta emme välttämättä heti, yhdessä yössä vieraannuttaisi tiettyjä maita", sanoi kyberturvallisuusyhtiö Fortressin varatoimitusjohtaja Tobias Whitney. Tietoturva. "Luulen, että se oli haaste edellisen hallinnon kieltomääräykselle."
Protect Our Powerin toiminnanjohtaja Jim Cunningham sanoi, että vuoden 2022 ensimmäinen puolisko voisi kertoa paljon liittovaltion politiikan suunnasta toimitusketjukysymyksissä.
Lainsäädäntö ja toimeksiannot
Kongressin jäsenet antoivat vuonna 2021 joukon lakeja, joiden tarkoituksena oli tukea Yhdysvaltain puolustusta hakkereita vastaan. Osa siitä päätyi maanpuolustuslupalakiin.
NDAA:ssa odotettavissa oleva molempien osapuolien kybertapahtumien ilmoituslaki kuitenkin kohtasi viime hetken esteen, kun senaattori Rick Scott (R-Fla.) vastusti. Scott oli huolissaan siitä, että tietoverkkohäiriöilmoitusvaatimus voisi olla taakka pienyrityksille. Se ei koskaan päässyt laskuun.
Rep. Jim Langevin (D-R.I.), joka ilmoitti äskettäin, ettei hän asetu ehdolle uudelleenvaaleissa, kertoi E&E Newsille, että kybertapahtumien ilmoituslasku on yksi hänen prioriteeteistaan tänä vuonna (Energywire, 19. tammikuuta).
Norma Krayem, Van Scoyoc Associatesin kyberturvallisuusasiantuntija, sanoi, että kongressin pitäisi palata sähkölaitoksia koskevaan raportointivaltuutukseen. Hän huomautti, että lainsäätäjät tutkivat myös, kuinka parhaiten suojella infrastruktuuria, jota pidetään ylikriittisenä Yhdysvaltain taloudelle.
Lainlaatijat kutsuvat niitä "systeemisesti tärkeäksi kriittiseksi infrastruktuuriksi" ja CISA:n "ensisijaiseksi systeemisesti tärkeäksi kokonaisuudeksi". Pyrkimyksenä on varmistaa, että Yhdysvaltojen talouden kunnossa pitävä selkäranka saa sekä resurssit että liittovaltion huomion.
"Toivottavasti nämä ponnistelut synkronoidaan, mutta on odotuksia, että tälle uudelle luokalle annetaan uusia sääntelyvaltuuksia kaikille tahoille, joille tämä nimitys on annettu", Krayem sanoi.
Rep. John Katko (R-N.Y.) esitteli H.R. 5491:n, joka valtuuttaisi CISA:n tunnistamaan kriittisen infrastruktuurin omistajat ja ylläpitäjät. Easterly on kannattanut lakiesitystä sanoen, että virasto odottaa 150–200 yksikön pääsevän listalle.