În Statele Unite, legea privind investițiile și locurile de muncă în infrastructură (Infrastructure Investment and Jobs Act, n.trad.) valorează 1.2 miliarde USD și este considerată o investiție „care se face o dată la o generație". O mare parte din acești bani vor ajunge la administrațiile statale și locale din întreaga țară. Aproape toată infrastructura reparată, înlocuită sau ale cărei lucrări sunt la început are măcar un element digital. Fie că este vorba de poduri, baraje, drumuri sau conducte de apă uzată, toate acestea au componente de rețea, de la senzori pasivi care raportează condițiile de mediu la dispozitive de tehnologie operațională (OT) care controlează funcțiile de bază.

Considerente pentru liderii guvernamentali cu privire la problematica infrastructurii

O mare parte din finanțarea pentru infrastructură nouă va merge către administrațiile statale pentru a fi distribuită; alte fonduri vor ajunge direct la administrațiile locale. Dar, în orice jurisdicție s-ar afla, iată câteva subiecte pe care oficialii guvernamentali ar trebui să le ia în considerare atunci când planifică sau execută modernizări ale infrastructurii:

1. Atenție la interoperabilitate
Este prea facil să ne concentrăm asupra abordării separate a fiecăreia dintre aceste infrastructuri digitale - mai ales că banii provin adesea dintr-o sursă de finanțare care se axează pe o anumită misiune (în cazul unei agenții federale care ar putea distribui fonduri în cadrul Infrastructure Investment and Jobs Act). Este de așteptat ca fondurile să fie cheltuite de către oficialii administrațiilor statale și locale sau de către partenerii lor din sectorul privat pentru proiecte distincte în infrastructuri specifice. Deși acest rezultat este de înțeles, adoptarea unei astfel de viziuni ierarhice înguste generează o formă de miopie instituțională care limitează beneficiile potențiale ce pot fi obținute din investiția unitară și modernizarea simultană a mai multor infrastructuri. Poate cineva să prevadă acum în ce fel va fi util, de exemplu, ca întrerupătoarele de cale ferată și conductele de apă uzată să comunice între ele? Probabil că nu - dar nici atunci când a fost semnat, în 1956, proiectul de lege care a creat sistemul de autostrăzi interstatale din Statele Unite ale Americii nu ar fi putut nimeni să prevadă cum modernizarea infrastructurii rutiere va transforma viața americanilor și chiar peisajul țării.

Pentru cei care sunt îngrijorați că legăturile între aceste infrastructuri disparate vor oferi actorilor rău intenționați o capacitate mai mare de a ataca mai multe sectoare și de a crea un impact mai larg, realitatea este că asistăm deja la activități cibernetice rău intenționate care vizează multiple sectoare sau care demonstrează capacitatea de a trece de la o infrastructură critică la alta. Dacă nu reușim să ne asigurăm că infrastructura noastră modernizată are o componentă de securitate care poate măcar să facă schimb de date privind amenințările, vom fi nepregătiți să facem față amenințărilor deja prezente și care, probabil, vor deveni din ce în ce mai serioase.

2. Planificați pe termen lung

Tehnologia digitală evoluează și se îmbunătățește rapid, dar de obicei infrastructura fizică nu ține pasul. Cel puțin un oraș important din SUA încă folosește conducte de apă care au fost instalate înainte de Războiul Civil. Spre deosebire de aparatele noastre electronice personale, situație în care schimbăm în mod obișnuit produsele mai vechi cu altele noi și îmbunătățite, infrastructura nu se poate pur și simplu "scoate și înlocui", așdar este esențial să fie luate în considerare implicațiile pe termen lung ale achizițiilor. Dacă aveți posibilitatea de a alege, în loc să adăugați hardware dificil de actualizat ulterior, optați pentru soluții bazate pe software, cum ar fi rețelele definite prin software (de exemplu, rețelele de arie largă definite prin software sau SD-WAN) și soluțiile cloud. În măsura în care aceleași capabilități pot fi obținute fie prin soluții fie bazate pe software, fie bazate pe hardware, abordările bazate pe software se pot actualiza și îmbunătăți mai rapid și cu costuri mai accesibile.

Stabiliți cerințe funcționale generale în loc să identificați niveluri specifice de performanță. Folosind ca exemplu securitatea cibernetică, luați în calcul posibilitatea de a solicita ca dispozitivele de infrastructură să utilizeze capabilități de protecție și detecție în punctele finale și capabilități de răspuns (EDR), în loc să specificați cât de rapide sau cuprinzătoare ar trebui să fie acestea. Alegeți standarde care pot evolua, cum ar fi standardele relevante ale Institutului Național de Standarde și Tehnologie (NIST) sau ale Organizației Internaționale de Standarde (ISO), care vor fi actualizate. Definirea unor niveluri de performanță specifice (cum ar fi „utilizarea unei criptări pe 512 biți”) poate fi atractivă pe termen scurt, dar riscă să blocheze aspecte importante ale performanței într-o obsolescență prematură, pe măsură ce tehnologia și amenințările evoluează. Alegerea funcțiilor definite prin software și a standardelor derivate extern poate oferi un anumit grad de protecție pentru infrastructură în viitor.

3. Securitatea trebuie să fie un element esențial

Prioritățile de top pentru tehnologiile operaționale din infrastructură sunt, de obicei, siguranța în operare și fiabilitatea. Securitatea este pe locul al treilea. Dar securitatea cibernetică trebuie să fie inclusă în orice proiect de infrastructură. În caz contrar, nu numai că infrastructura respectivă și utilizatorii acesteia sunt vulnerabili din cauza naturii interconectate a acesteia, ci devenim cu toții, colectiv, vulnerabili la defecțiuni în cascadă și la consecințe care se pot răspândi în diverse sectoare și regiuni.

Noile obiective comune de bază ale CISA privind performanța în materie de securitate cibernetică (Common Baseline Cybersecurity Performance Goals , n.trad.) sunt destul de cuprinzătoare și oferă modele care pot ajuta persoanele nespecializate să planifice implementarea. Aceste obiective sunt și ușor de utilizat și se pot și adapta atât la utilizarea de către organizații de tipul furnizorilor mici de infrastructură locală, cât și la organizațiile mari, care dispun de departamente de experți și de instrumente cibernetice. Urmărirea unor obiective comune ar trebui să faciliteze interoperabilitatea în tot spectrul de dimensiuni și complexitate a organizațiilor conectate în cadrul infrastructurilor și între acestea.

Începeți cu elementele de bază. O analiză recentă efectuată de Centrul pentru Securitatea Internetului (Center for Internet Security , n. trad.) reiterează faptul că implementarea unui set modest de măsuri de igienă cibernetică de bază/esențiale poate reduce vulnerabilitatea la atac cu 75%. Acestea sunt măsuri care pot fi puse în aplicare chiar și de către furnizorii mici de infrastructură cu personal și resurse limitate.

Pentru organizațiile de infrastructură mici, cum ar fi utilitățile publice, care ar putea avea nevoie de protecție suplimentară, externalizarea Securității ca Serviciu (Security-as-a-Service, n. trad.) ar putea fi mai fezabilă decât încercarea de a o asigura intern, cu resurse umane limitate în materie de securitate. Soluțiile de Securitate ca Serviciu variază de la oferte simple, cum ar fi produsele de nișă gestionate extern, până la oferte mai complexe, cum ar fi SOC-as-a-Service sau portofolii complete de capabilități gestionate extern. Aceste produse sunt disponibile într-o gamă variată de niveluri de performanță și de preț. În unele cazuri, potențialii utilizatori s-ar putea grupa în piețe de stat sau regionale, ceea ce le-ar permite astfel obținerea de prețuri mai bune și le-ar asigura o mai mare eficiență în materie de securitate.

Următorii pași pentru o infrastructură sigură

Infrastructura noastră modernă trebuie să fie "inteligentă". Infrastructurile disparate ar trebui să fie capabile să comunice între ele, iar pentru interoperabilitate agențiile de finanțare și furnizorii de infrastructură trebuie să planifice din timp, pentru a evita soluțiile de tip "siloz". Deoarece amenințările se pot deplasa în rețele și către alte rețele, nicio infrastructură nu își poate permite să funcționeze într-un vid informațional, iar planurile de securitate cibernetică trebuie să includă schimbul de informații privind amenințările. Nu vă puteți proteja împotriva unei amenințări pe care nu o înțelegeți și pe care nu o puteți vedea. Atacurile cibernetice sunt inevitabile, așa că furnizorii de infrastructură ar trebui să fie capabili să își coordoneze răspunsurile pentru a-și îmbunătăți capacitatea de recuperare în urma acestora. La fel cum echipele de prim-răspuns din jurisdicțiile vecine trebuie să fie capabile să se folosească de comunicații comune în cazul unei urgențe care necesită un răspuns multijurisdicțional, este mai ușor să planificați interoperabilitatea în prima linie decât să improvizați în timpul unei crize.