شان کورتنی و مایکل رایلی (بلومبرگ) – یک طرح کاخ سفید برای افزایش سریع امنیت شبکه برق ایالات متحده با دو سرعت 100 روزه آغاز می شود ، اما با توجه به جزئیات نسخه پیش نویس این طرح ، سالها بیشتر طول می کشد تا توانایی برنامه های کاربردی برای مبارزه با هکرها تغییر یابد. توسط دو نفر تأیید شده است.
این طرح معادل سیاست یک عمل با سیم بالا است: انگیزه هایی را برای شرکت های الکتریکی فراهم می کند تا نحوه محافظت از خود در برابر حملات سایبری را به طور چشمگیری تغییر دهند در حالی که سعی دارند از سیم های سه گانه سیاسی جلوگیری کنند که تلاش های قبلی را متوقف کرده است ، جزئیات نشان می دهد.
به اصطلاح “برنامه اقدام” دولت بایدن در میان اصول اصلی آن مشوق شرکتهای برق برای نصب تجهیزات جدید پیچیده نظارت برای شناسایی سریعتر هکرها و به اشتراک گذاشتن این اطلاعات به طور گسترده با دولت ایالات متحده است.
طبق پیش نویس شش صفحه ای این طرح ، كه توسط شورای امنیت ملی تهیه شده و به طور مفصل برای اخبار بلومبرگ شرح داده شده است ، از شركت آب و برق درخواست خواهد شد تا سایتهای حیاتی را شناسایی كنند كه در صورت حمله می توانند تأثیر زیادی در سراسر شبكه داشته باشند.
و یک برنامه طبقه بندی شده بخش انرژی انرژی برای شناسایی نقص در اجزای شبکه قابل استفاده توسط دشمنان سایبری کشور از جمله روسیه ، ایران و چین را گسترش می دهد.
این طرح اولین گام در یک اقدام گسترده برای محافظت از شرکت های بزرگ در برابر حملات سایبری است که می تواند میلیون ها نفر را بدون برق ، آب و گاز ترک کند. به گفته یکی از آشنایان به زمانبندی ، نسخه نهایی این طرح می تواند به زودی در این هفته منتشر شود.
کریستوفر پینتر ، که بالاترین مقام سایبری در وزارت امور خارجه در دولت اوباما بود ، گفت: “منطقی است که در طرحی از این دست با عملیات شبکه آغاز شود.”
“اگر قدرت نداشته باشید همه چیز خراب می شود: بخش مالی ، پالایشگاه ها ، آب. این شبکه زیربنای زیرساختهای مهم کشور است. “پینتر که اکنون در کمیسیون جهانی ثبات فضای مجازی است ، افزود.
کارشناسان می گویند ابتکارات افزایش امنیت شبکه برق آمریكا سالها در تلاش شناخته شده برای بهبود امنیت مراكز داده و سیستم های رایانه ای شرکتی است. در همان زمان ، هکرهای روسیه ، چین ، ایران و کره شمالی به طور فزاینده ای حملات تهاجمی به شرکت های برق آمریكایی را آغاز می كنند ، با این امید كه بدافزارهایی را كه می توانند شهرها و شهرهای آمریكا را در تاریكی قرار دهند ، از قبل قرار دهند.
وقفه های اخیر مربوط به آب و هوا در تگزاس ، اگرچه نتیجه یک حمله سایبری نبود ، اما نمایانگر توانایی بالقوه ویرانی بود. مردم در خانه های خود یخ زدند ، برای دستیابی به آب آشامیدنی دست و پنجه نرم کردند و ارتباطات خود را از دست دادند زیرا تلفن های همراهشان نمی توانستند شارژ شوند زیرا اپراتورهای شبکه روزها برای بازیابی برق تلاش کردند.
طرح کاخ سفید نیاز به تلاش گسترده برای تأمین امنیت رایانه های کاملاً تخصصی را مورد استفاده قرار می دهد که نه تنها شرکت های برق ، بلکه شرکت های آب شهری ، اپراتورهای خط لوله گاز و سایر کشورها از آن استفاده می کنند.
دو فرد آشنا با تفکر دولت گفتند که شرکتهای برق برای شروع کار انتخاب شدند زیرا آنها سابقه همکاری خوبی با دولت ایالات متحده در زمینه تهدیدهای امنیتی دارند. یکی از مردم گفت در حالی که شرکت های خصوصی معمولاً از اشتراک داده های شبکه رایانه ای به طور گسترده با دولت بیزار هستند ، برخی از شرکت های برق از قبل این کار را به عنوان بخشی از برنامه های آزمایشی موجود انجام می دهند.
مشوق های مشارکت
طرح کاخ سفید ، داوطلبانه ، مجموعه ای از مشوق های احتمالی را برای واداشتن شرکت های برق پیش بینی کرده است ، مسیری که از نظر سیاسی از نظر سیاسی مشکوک تر از اجرای مشارکت آنها از طریق مقررات نیست.
برای مثال ، برنامه های کوچک تری مانند تعاونی های روستایی می توانند بودجه دولت را تأمین کنند تا هزینه تجهیزات و نرم افزارهای امنیتی جدید را پوشش دهند. دولت طبق این طرح بررسی خواهد کرد که آیا مشارکت تحت قانون ایمنی ، که از محصولات و خدمات ضد تروریسم محافظت می کند ، تحت پوشش قرار می گیرد یا خیر – گرچه کاملاً واضح نیست که خدمات ارائه شده توسط یک شرکت برق الزامی باشد.
طبق جزئیات پیش نویس ، بسیاری از جزئیات مربوط به بودجه و مشوق ها بعداً طی فرآیندی که توسط شورای امنیت ملی و سایرین هماهنگ خواهد شد ، بررسی خواهد شد.
کارشناسان امنیت سایبری گفتند که تصمیمات شرکت های بزرگ برای مشارکت به نحوه حل این جزئیات بستگی دارد. به عنوان مثال ، این طرح با ممنوعیت جمع آوری یا ذخیره “داده های حساس” در خارج از تاسیسات ، به نگرانی های دیرینه در مورد به اشتراک گذاشتن جزئیات حملات سایبری به طور خودکار با دولت می پردازد.
اما در این طرح هنوز مشخص نشده است كه چه چیزهایی به عنوان داده های حساس به حساب می آیند و روشن است كه هر داده جمع آوری شده باید به طور گسترده در سراسر دولت فدرال قابل اشتراک باشد.
این طرح همچنین نقش یک برنامه وزارت انرژی را گسترش می دهد که تجهیزات شبکه را برای نقص یا اجزای مخفی اسکن می کند که هکرها می توانند برای حمله به برنامه های کاربردی استفاده کنند. جنبه های آن برنامه ، معروف به CyTRICS ، طبقه بندی می شوند زیرا به گفته شخصی که با آن آشنا است ، تلاش سازمان های اطلاعاتی خارجی برای تضعیف عمدی فناوری شبکه است. (CyTRICS مخفف Cyber Testing برای سیستم های کنترل صنعتی قابل انعطاف است.)
در حالی که شرکتهای آب و هوایی از تلاشهای مشابه در گذشته پشتیبانی می کردند ، ایجاد یک لیست فروشنده تأیید شده می تواند هزینه های تولیدکنندگان تجهیزات را که برای ایمن سازی محصولاتشان مورد نیاز است افزایش دهد – پیشنهادی مشابه برای مقاومت در برابر تولیدکنندگان آمریکایی و خارجی ، یک فرد آشنا با صنعت گفت.
جنگ های چمن
برای موفقیت ، این طرح باید از پس چالشهایی برآید که تلاشهای قبلی را از بین برده است ، از جمله جنگهای چمن بین سازمانها و سوالاتی که سازمانهای اطلاعاتی ایالات متحده در حفاظت از زیرساختهای حیاتی کشور باید چه نقشی داشته باشند.
طبق خلاصه ، بخش انرژی به جای اداره امنیت سایبری و آژانس امنیت زیرساخت یا CISA ، بخشی از وزارت امنیت داخلی ، توسط وزارت انرژی هدایت خواهد شد.
به گفته مقامات فعلی و سابق DHS و همچنین یکی از دستیاران کمیته امنیت داخلی مجلس نمایندگان ، این امر می تواند نگرانی ها را در مورد از دست دادن اختیارات موجود CISA و احتمالاً واگذاری برنامه به طور کامل به بخش انرژی افزایش دهد. این هیئت در مارس یک لایحه دو حزبی را تصویب کرد تا نقش اصلی CISA در حفاظت از سیستم های کنترل صنعتی کشور را تقویت کند (HR 1833).
به گفته سوزان اسپولدینگ ، که پیش از این CISA ، اداره ملی حفاظت و برنامه ها را تحت دولت اوباما رهبری می کرد و اکنون در آن کار می کند ، گفت: “خطری که شما در عدم انجام CISA انجام می دهید این است که اطلاعات به جایی که لازم است برسد.” مرکز مطالعات استراتژیک و بین المللی.
در حالی که اخیراً طرح کاخ سفید بی سر و صدا به گوش مسئولان رسیده بود ، الخاندرو مایورکاس ، وزیر امنیت میهن ، آنچه را که وی معتقد بود نقش اصلی CISA در سخنرانی سیاسی در اواخر ماه مارس است ، تکرار کرد.
وی پس از تمجید از برنامه های امنیت سایبری دولت ، افزود: “همانطور که برخی گفته اند ، دولت به تیم امنیت سایبری خود احتیاج دارد. CISA همان خط حمله است. “