Cibersegurança para infraestrutura crítica - Crescimento, riscos de alta visibilidade exigem liderança forte do estado


Cibersegurança para proteção de infraestrutura crítica - Uma ameaça crescente e altamente visível exige liderança estadual

Como guardiões da segurança pública, os líderes estaduais devem estar prontos para responder de forma rápida e eficaz a qualquer ataque à infraestrutura crítica - incluindo um ataque cibernético.

Problemas de risco cibernético em relação à infra-estrutura crítica

Os ataques cibernéticos em infraestrutura crítica tornaram-se cada vez mais sofisticados e eficazes. Para ganhos financeiros, políticos ou militares, ataques recentes foram responsáveis ​​por encerrar a rede de energia da Ucrânia, "autodestruição" de centrífugas em uma usina de enriquecimento de urânio no Irã, segurando os registros médicos do hospital de Los Angeles para resgate e infiltração de e-mail E sistemas de recolha de tarifas para o transporte público de São Francisco.

Até o momento, os danos foram limitados a perdas financeiras, inconvenientes e publicidade negativa, mas os ataques cibernéticos em infra-estrutura crítica têm potencialmente problemas sérios, desde interrupção de serviço até ameaça física para vidas humanas.


A proteção de infraestrutura crítica do estado deve abordar ameaças cibernéticas

Os Estados têm programas de segurança cibernética focados na proteção de dados do cidadão e muitas vezes separam programas para proteger a infraestrutura crítica. A segurança cibernética especificamente para infraestrutura crítica é uma peça faltante que representa um risco cada vez mais urgente.

Os ataques cibernéticos apresentam desafios únicos:
• As ameaças cibernéticas não possuem fronteiras distintas.
• As táticas e as tecnologias estão em constante evolução.
• As entidades do setor público e privado gerenciam infra-estrutura crítica em risco de ataque cibernético, exigindo esforços coordenados e processos de compartilhamento de informações que atualmente não existem formalmente em muitos estados.

Como responsáveis ​​pela segurança pública, espera-se que os líderes estaduais identifiquem, protejam, detectem, respondam e se recuperem rápida e eficazmente de qualquer ataque à infra-estrutura crítica para reduzir os danos e restaurar a segurança. Atualmente, a maioria dos programas críticos de proteção de infraestrutura apenas abordam ameaças físicas, deixando estados vulneráveis ​​a ameaças cibernéticas que vão desde a interrupção do serviço até preocupações com a segurança pública.

Os Estados precisam expandir sua mentalidade de risco para incluir riscos cibernéticos e liderar uma colaboração público-privada focada no compartilhamento de informações, conscientização sobre os papéis que todos os grupos envolvidos devem desempenhar e estabelecendo uma resposta unificada aos ataques cibernéticos em infra-estrutura crítica.

Construir um programa eficaz exigirá tempo, compromisso e cooperação estreita entre entidades públicas e privadas, bem como agências interestaduais e federais, incluindo:
• Apoio de liderança no mais alto nível do governo estadual para garantir financiamento e amplo envolvimento; Idealmente, patrocinado e dirigido pelo gabinete do governador
• Coordenação liderada pelo Estado de entidades públicas e privadas, incluindo o desenvolvimento de uma abordagem-quadro para orientar práticas para estabelecer comunicações abertas, alavancar pontos fortes, definir papéis e responsabilidades, preencher habilidades e lacunas de recursos e ajudar as equipes a trabalharem de forma eficaz para deter, detectar e Iniciar uma resposta efetiva aos ataques cibernéticos. Isso também pode ajudar a identificar pontos comuns em todos os componentes críticos da infra-estrutura. O Núcleo de Segurança Cibernética (NIST) do Instituto Nacional de Padrões e Tecnologia (NIST) pode ser alavancado como um guia para examinar os elementos críticos (www.nist.gov/cyberframework/csf-reference-tool).
• Uma agência estatal servindo como mecanismo de compartilhamento de informações para todas as entidades envolvidas e fornecendo acesso a serviços que visam especificamente uma postura reforçada de segurança cibernética para infraestrutura crítica
• Cooperação contínua entre grupos diversos e dispersos, incluindo muitos que não trabalharam juntos no passado: especialistas em segurança cibernética de TI dedicados a agências estatais individuais; Gestão de emergências e equipes de aplicação da lei responsáveis ​​pela resposta no terreno às emergências de infraestrutura crítica; Equipes de segurança cibernética e de resposta a desastres do setor privado; E outras entidades responsáveis ​​pela garantia de infra-estrutura crítica
• Utilização e coordenação com parceiros federais, como consultores de segurança física do Departamento de Segurança Interna (DHS), consultores de segurança cibernética do DHS e ligações de agências de segurança cibernética, como o Centro Nacional de Integração de Cibersegurança e Comunicação
• Um ponto de contato dentro do estado encarregado de contribuir com bancos de dados federais existentes e alavancar informações existentes para realizar avaliações de risco mais bem informadas sobre infra-estrutura crítica no estado

Nova mentalidade para gerenciar a segurança cibernética da infra-estrutura crítica

Com ataques cibernéticos em infra-estrutura crítica de crescente preocupação e crescente gravidade, os estados precisam ver a contratação e treinamento de

Recursos de segurança cibernética através de uma nova lente. Além das habilidades técnicas, um programa efetivo exigirá líderes que possam encorajar uma forte colaboração público-privada e abrir o intercâmbio de informações. Em particular, as entidades do setor privado devem poder compartilhar informações confidenciais sobre potenciais vulnerabilidades em torno de sua capacidade de proteger infraestrutura crítica sem medo de represálias ou preocupação de que a informação seja tornada pública. Novas combinações de habilidades também serão essenciais. Os especialistas em segurança cibernética e as equipes responsáveis ​​pela infra-estrutura crítica precisarão consultar uns com os outros e ampliar suas habilidades para desenvolver uma imagem completa e precisa de vulnerabilidades, gravidade da questão e possíveis impactos. Por exemplo, para refletir com precisão a exposição ao risco e proteger a rede de energia do ataque cibernético, os estados precisarão de experiência combinada em ciber e os impactos em cascata da desestabilização das estações de energia física. Um programa efetivo exigirá uma equipe com habilidades para estabelecer: • Relações fortes Com parceiros do setor privado e federais • Papéis e responsabilidades bem definidos e comunicações consistentes e informadas • Mecanismos para apresentar e receber feedback, aumentar a conscientização, apoiar o intercâmbio de informações e promover ações • Análise de risco de segurança cibernética e priorização em caso de interrupção do serviço Ou um dano físico para os cidadãos • Um plano operacional para compartilhar e manter a informação sobre segurança cibernética • Treinamento e coordenação para equipes de resposta multidisciplinar - busca e resgate, apoio médico de emergência, especialistas em segurança cibernética, bem como líderes nos setores público e privado • Inicial E requisitos contínuos para equipamentos e software. Cada estado w Preciso avaliar os recursos existentes e começar a treinar para preencher lacunas de habilidades e informações.Controle à equipe de construção superior procurando desenhos. Começando: Compreender o estado do seu estado. Construir um programa de infra-estrutura crítica de segurança cibernética leva tempo, planejamento cuidadoso e suporte contínuo do governador do estado, Agências estaduais e federais, e entidades públicas e privadas que supervisionam a infra-estrutura crítica. O primeiro passo é ajudar os principais atores do governo a entender a gravidade, a urgência e os possíveis impactos da questão e a necessidade de tomar medidas imediatas. A partir daí, o processo é avaliar a exposição potencial. • As pessoas certas estão conscientes de que é uma questão Problema • Quem é responsável por gerenciar o risco? • Conhecemos nossa pegada de ataque? • O que estamos fazendo para resolver o problema e gerenciá-lo no futuro? Uma vez que uma compreensão básica da exposição potencial é desenvolvida, os estados podem começar a avançar Em um plano para reunir as pessoas e as habilidades certas para construir um programa bem sucedido.

Os líderes estaduais estão melhor posicionados para entender os riscos críticos da infraestrutura no seu estado e desenvolver programas para ajudar a mitigar e responder efetivamente à grande variedade de Ameaças cibernéticas que possam enfrentar. No entanto, para ser bem-sucedido, os estados precisarão cultivar as habilidades, a cultura e a mentalidade para a colaboração público-privada em programas de proteção de infra-estrutura crítica que cobrem a segurança cibernética de forma eficaz. Para saber mais sobre como a Deloitte pode ajudar seu estado a avaliar opções, visite nosso Website ou entre em contato com nossa equipe de especialistas em segurança cibernética de infraestrutura crítica: Srini Subramanian e Mike Wyatt. Infraestrutura crítica de confiança.

O Departamento de Segurança Interna dos EUA define infra-estrutura crítica como "os ativos, sistemas e redes, físicos ou virtuais, tão vitais para os Estados Unidos que Sua incapacidade ou destruição teria um efeito debilitante na segurança, na segurança econômica nacional, na saúde pública nacional ou na segurança, ou em qualquer combinação destes. "1 A Diretiva de Política Residencial 21, Segurança e Resiliência de Infraestrutura Crítica, identifica 16 setores de infra-estrutura crítica.2 Barragens químicas Informações sobre serviços financeiros Tecnologia comercial Ligas Base industrial de defesa Alimentação e agricultura Reatores nucleares, materiais nucleares e resíduos Comunicações Serviços de emergência Instalações governamentais Sistemas de transporte Fabricação crítica Energia Cuidados de saúde, saúde pública Sistemas de água e águas residuais Os programas estatais de segurança cibernética devem refletir as vulnerabilidades específicas de qualquer infra-estrutura crítica em que o Estado depende Para a saúde pública, a segurança e a prosperidade.

1 O Departamento de Segurança Interna dos EUA, "O que é Infra-estrutura crítica?" Última publicação 14 de outubro de 2016, https://www.dhs.gov/what-critical-infrastructure.
2 The White House , Diretiva de Política Presidencial 21 (PPD-21), "Diretiva de Política Presidencial - Segurança e Resiliência de Infraestrutura Crítica", 12 de fevereiro de 2013, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/ Presidencial-política-diretiva-crítica-infra-estrutura-segurança-e-resil.Back topsurveyor e linha de energiaCybersecurity na notíciaCinquecedores cada vez mais sofisticados em criti Infra-estrutura have placed governments worldwide on high alert. Some of the more noteworthy attacks:SF’s transit hack could’ve been way worse—and cities must prepare Source: Wired | November 28, 2016Cyberattack on Ukraine power grid Source: Wired | March 3, 2016Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating Source: LA Times | February 18, 2016The real story of Stuxnet
Source: IEEE Spectrum | February 26, 2013
Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos

Atualidades - 15 de agosto de 2016