Lange Schlangen und Trockenpumpen an Tankstellen an der Ostküste in dieser Woche machten die Amerikaner auf die wachsende Bedrohung durch Cyberangriffe auf Systeme aufmerksam, die viele Aspekte ihres Lebens und ihrer Sicherheit kontrollieren.
Sicherheitsexperten sagen, der Ransomware-Angriff habe dazu geführt eine fünftägige Abschaltung der Linien von Colonial Pipeline Co. Die Versorgung von 14 Staaten mit Kraftstoff war nur der letzte von Hunderten solcher Hacks in kritischen Branchen im vergangenen Jahr. In der Zwischenzeit sind Empfehlungen von Sicherheitswächtern, die den Schutz vor solchen Bedrohungen stärken würden, unbeachtet geblieben.
Die strengste Sicherheit würde kritische Systeme vom Internet trennen, sagen Experten, wie es Kernkraftwerke tun müssen. Und die Regierung könnte andere Sicherheitsprotokolle vorschreiben, anstatt Empfehlungen ohne Strafen für Verstöße abzugeben.
“Die Vereinigten Staaten sind eines der wenigen Länder, in denen auf nationaler Ebene keine Vorschriften für die Cybersicherheit für ihre kritische Infrastruktur erlassen wurden”, sagte Eric Cole, der während der Kommission für Cybersicherheit im Zentrum für strategische und internationale Studien tätig war Obama-Regierung und deren Buch Cyber Crisis erscheint nächsten Monat.
Die Zahl der Angriffe auf Unternehmen, die wesentliche Dienstleistungen von Banken und Elektrizität bis hin zu Krankenwagen und Landwirtschaft erbringen, ist in den letzten zehn Jahren mit mehr als stetig gestiegen 250 Ransomware-Angriffe auf US-Unternehmen Laut Angaben der Temple University allein im Jahr 2020 als kritische Infrastruktur eingestuft.
Dazu gehörten Eisenbahnsysteme, Gerichte, Gefängnisse, Polizeidienststellen, Schulbezirke, Elektrizitätsversorger und große und kleine Rathäuser.
Und jetzt die Kolonialpipeline.
“Dies ist die einzige Warnung, vor der die Menschen seit einiger Zeit gewarnt haben, dass sie die Infrastruktur physisch außer Gefecht setzen könnten”, sagte Malcolm Nance, ein 35-jähriger Geheimdienstoffizier der Marine im Ruhestand und Autor mehrerer Bücher über nationale Sicherheit, über den kolonialen Hack . “Jetzt brauchen wir eine umfassende Überprüfung der gesamten internetgesteuerten Infrastruktur der USA – das ist Öl, das ist Gas, Erdgas, Wasser.”
In der Grafik:Die US-Gaspreise steigen, da die Colonial Pipeline nach einem Ransomware-Angriff wiedereröffnet wird
Derzeit gibt es für die meisten privaten Unternehmen keine bundesstaatlichen Vorschriften zu Cybersicherheitsmaßnahmen – selbst für Unternehmen, die wichtige Lieferungen und Dienstleistungen wie Öl und Gas erbringen.
“Einige dieser Sektoren sind völlig freiwillig und es gibt keine Cybersicherheitsstandards, und einige von ihnen haben sehr strenge Cybersicherheitsstandards”, sagte Vijay D’Souza, Direktor für Informationstechnologie und Cybersicherheit beim US Government Accountability Office.
Das Stromnetz und die Kernkraftwerke müssen beispielsweise strengen Cybersicherheitsstandards entsprechen, die von Aufsichtsbehörden wie der North American Electric Reliability Corporation festgelegt wurden.
Präsident Joe Biden erließ diese Woche eine Durchführungsverordnung, in der festgelegt wurde, dass alle Bundesbehörden Mindeststandards für die Cybersicherheit einhalten müssen. Sie richtete sich jedoch nicht an private Unternehmen wie Colonial, die kritische Infrastrukturdienste abwickeln.
Auf die Frage am Donnerstag, ob er der Öl- und Gasindustrie angesichts des kolonialen Hacks ähnliche Vorschriften auferlegen würde, sagte Biden, dass private Unternehmen für ihre eigene Cybersicherheit verantwortlich sind und er ihnen nicht diktieren kann. Er sagte, dass die Bemühungen, einschließlich einer im April angekündigten 100-Tage-Initiative für elektrische Systeme und Teile seines 2-Billionen-Dollar-Infrastrukturplans, eine stärkere Zusammenarbeit zwischen diesen Branchen und der Bundesregierung fördern sollen, um die Cybersicherheit freiwillig zu verbessern.
In den letzten zehn Jahren gab das GAO fast 80 Empfehlungen an Regierungsbehörden ab, um die kritische Infrastruktur des Landes vor Online-Sicherheitsbedrohungen zu schützen. Bis März waren die meisten nicht umgesetzt worden, einschließlich drei Empfehlungen zur Pipelinesicherheit, die an die Transportation Safety Administration gerichtet waren.
Unter Berufung auf das Gesundheits- und Lebensmittelsystem sagte D’Souza, dass laxe Cybersicherheit „potenzielle Auswirkungen auf Leben und Tod für uns haben kann“.
“Die Leute haben dies nicht immer mit dem Gefühl der Dringlichkeit behandelt, das nötig ist”, sagte D’Souza. “Ich denke, leider braucht es einen Vorfall wie diese Colonial Pipeline, bis die Leute irgendwie aufwachen.”
Die Bedrohung ist seit Jahren bekannt
Da das GAO und andere in den letzten zehn Jahren das Thema Cybersicherheit angesprochen haben, haben frühere Verwaltungen es nicht zur obersten Priorität gemacht.
Während der Obama-Regierung, sagte Cole, schlugen er und andere Sicherheitsexperten einen Plan vor, um alle kritischen Infrastrukturunternehmen zu beauftragen, ihre Computersysteme für die industrielle Steuerung vom Internet zu trennen. Andere Themen hätten zu dieser Zeit Priorität, sagte er, und der Plan wurde nie genehmigt.
“Vor 2017 war die grundlegende Sicherheitsregel, dass diese Systeme immer von dem mit dem Internet verbundenen Netzwerk getrennt, physisch getrennt oder luftspaltig sind”, sagte Cole. „Sie hatten also diese Systeme mit bekannten und verwalteten Schwachstellen, die sich jedoch in einem privaten, isolierten Netzwerk hinter Zäunen, Wachen und Waffen befanden. Sofern nicht jemand den Umkreis physisch verletzt hat, wurden diese Systeme sicher aufbewahrt. “
Aber als mehr Unternehmen ihre Systeme vollständig automatisierten, begannen sie, sich massenhaft mit dem Internet zu verbinden.
“Viele dieser Unternehmen haben meiner Meinung nach die falsche Entscheidung getroffen und gesagt: ‘Fangen wir an, diese miteinander zu verbinden’, und dann scherze ich immer: berühmte letzte Worte, ‘was könnte möglicherweise schief gehen?'”, Sagte Cole.
Experten wie D’Souza bemerken, dass die Bemühungen der Regierung um Cybersicherheit eher davor zurückschrecken, Bundesvorschriften für private Unternehmen hinzuzufügen, weil sie sofort zurückgedrängt werden.
Im Jahr 2016 veröffentlichte Obamas Kommission zur Verbesserung der Cybersicherheit einen Abschlussbericht, der 53 Empfehlungen zur Verbesserung der Cybersicherheit enthielt, jedoch keine nicht freiwilligen Vorschriften für kritische Infrastrukturunternehmen empfahl.
Seitdem bestätigen die Daten der Temple University, dass Ransomware-Angriffe wie die, die Colonial getroffen haben, in die Höhe geschossen sind. Von 2013 bis 2015 gab es insgesamt 15 Ransomware-Angriffe auf die kritische Infrastruktur der USA. Von 2016 bis 2018 gab es zwischen 50 und 70, bevor die Zahl 2019 auf 175 stieg und im vergangenen Jahr 250 überstieg.
Es besteht kein Zweifel, dass die COVID-19-Pandemie den Anstieg der Angriffe auf diese mit dem Internet verbundenen Systeme im letzten Jahr unterstützt hat, sagte Tad McGalliard, ein Cybersicherheitsexperte und Forschungsdirektor der lokalen RegierungInternationale Stadt- / Kreisverwaltungsvereinigung.cy
“Die Leute verließen ihre Kabinen und Sitzungssäle für Küchentische und Wohnzimmer”, sagte er. „Die Menschen nutzten ihre eigenen Internet-Systeme, die unterschiedliche Schutzarten haben. Sie waren vielleicht nicht ganz so vorsichtig in der rasenden Eile, letztes Jahr aus dem Büro zu kommen. “
Am 5. Februar erhielten Hacker über Fernzugriffssoftware Zugang zu einer Wasseraufbereitungsanlage in Florida und versuchten, die Wasserversorgung zu vergiften. Obwohl der Hack schnell erkannt wurde, zeigte der Vorfall, wie die Covid-19-Pandemie, die Millionen dazu drängte, von zu Hause aus zu arbeiten, die Anfälligkeit von Unternehmen im ganzen Land erhöht hatte.
Was soll getan werden
Experten sagten, es gibt eine Blaupause dafür, wie Cyberangriffe auf kritische Infrastrukturunternehmen verhindert werden können. Kehren Sie zu der Art und Weise zurück, wie früher mit separaten Systemen gearbeitet wurde, damit die Computer, die zum Betreiben einer Pipeline oder eines Staudamms benötigt werden, nicht mit dem Geschäftscomputersystem oder dem Internet verbunden sind.
“Ich fordere den Präsidenten auf, eine Ausführungsverordnung zu erlassen, die besagt, dass alle kritischen Infrastruktursysteme (Computer) vom Internet getrennt werden müssen”, sagte Cole.
Mike Chapple, Professor für IT, Analytik und Operations am Mendoza College of Business der University of Notre Dame und ehemaliger Informatiker bei der National Security Agency, sagte der Associated Press dasselbe. Systeme, die Pipelines steuern, sollten nicht mit dem Internet verbunden und anfällig für Cyber-Intrusionen sein, sagte er.
“Die Angriffe waren äußerst ausgefeilt und konnten einige ziemlich ausgefeilte Sicherheitskontrollen besiegen, oder es gab nicht das richtige Maß an Sicherheitskontrollen”, sagte Chapple.
Die Atomkraftindustrie muss ihre Computersteuerungssysteme bereits vom Internet getrennt oder „luftspaltend“ halten. Ein Luftspalt bedeutet, dass das Netzwerk von Computern, die beispielsweise einen Reaktor steuern, in keiner Weise mit dem Internet verbunden ist.
Laut den Ransomware-Angriffsdaten von Temple gab es keine Angriffe auf Kernkraftwerke.
“Wir haben ein Modell, das sehr effektiv ist, um Cyberangriffe mit Atomwaffen zu stoppen. Wir verfolgen es einfach nicht in anderen Bereichen”, sagte Cole.
Andere Experten sagen jedoch, dass die Realität des heutigen Internet der Dinge bedeutet, dass ein vollständiger Luftspalt nicht mehr realistisch ist.
“Egal wie viel wir über Luftspalte schreien, wir werden nicht darauf zurückkommen”, sagte Brian Kime, Senior Analyst bei der Cybersicherheitsfirma Forrester, die mit Kunden in verschiedenen kritischen Infrastrukturbranchen zusammenarbeitet.
Dies liegt daran, dass integrierte Systeme den Verbrauchern Vorteile bieten und gleichzeitig die Kosten für Unternehmen senken, sagte Kime und verwies auf intelligente Strom- und Gaszähler, die das Erkennen und Reparieren von Problemen erleichtern.
Der Schlüssel besteht darin, Cybersicherheitspläne zu implementieren, die das Risiko eines Angriffs auf ein gesamtes System minimieren, sagte Kime. Dies kann durch eine Strategie namens “Zero Trust” erreicht werden.
“Es gibt eine vermutete Verletzung”, sagte er. “Wir vertrauen niemals und überprüfen immer jedes Gerät, jede Anwendung, jede Identität.”
Zero Trust umfasst auch die Isolierung von Einrichtungen und Systemen innerhalb des Unternehmensnetzwerks. Wenn also ein Teil gehackt wird, muss das gesamte Netzwerk nicht heruntergefahren werden.
“Industrielle Steuerungssysteme nicht direkt mit dem Internet zu verbinden, ist eine absolut empfohlene Best Practice im Industriesektor”, sagte Kime. Aber zumindest sollten die Dinge so getrennt werden, dass ein Ransomware-Angriff auf den Geschäftsbetrieb den Industriebetrieb nicht zum Erliegen bringen sollte.
“Das Pipeline-Netzwerk sollte ohne Unternehmens-IT betrieben werden können”, sagte er.
Kime stimmt zu, dass die durch den Colonial-Hack verursachte öffentliche Störung eine Gelegenheit ist, “meiner Meinung nach für die Regierung einige Compliance- und grundlegende Sicherheitsmaßnahmen durchzusetzen und durchzusetzen”.
Im Juli 2020 startete die Agentur für Cybersicherheit und Infrastruktursicherheit unter der Verwaltung von Trump eine Fünfjahresinitiative, um Unternehmen und Regierungsbehörden besser vor Computerangriffen zu schützen, die kritische Funktionen wie „Sicherheit, nationale wirtschaftliche Sicherheit, nationale öffentliche Gesundheit oder Sicherheit“ beeinträchtigen würden.
CISA warnte letztes Jahr, dass ein Cyberangriff direkt auf solche Kontrollsysteme “erhebliche physische Folgen haben könnte, einschließlich Verlust von Leben, Sachschaden und Störung der wesentlichen Dienste und kritischen Funktionen, auf die sich die Gesellschaft stützt”.
Der CISA-Plan enthält jedoch keine spezifischen Sicherheitsmandate für Unternehmen, die kritische Funktionen ausführen. Zu seinen Zielen gehören die Stärkung von Partnerschaften, das Sammeln besserer Daten und die Entwicklung von Technologien, damit sich private Unternehmen verteidigen können.
Kritiker einer stärkeren Regulierung der Privatwirtschaft sagen, dass es kein Maß an Cybersicherheit gibt, das einen entschlossenen Hacker aufhalten kann. Die Einführung von Vorschriften macht Unternehmen nur weniger effizient und teurer, sagte Cole. Experten sagten jedoch, dass die meisten Ransomware-Angriffe nicht von Russland oder China durchgeführt werden, sondern von weniger hoch entwickelten Organisationen, die nur nach Geld suchen, wo sie es bekommen können.
“Ja, es gibt einige wirklich fortgeschrittene nationalstaatliche Bedrohungsakteure, die nicht gestoppt werden können”, sagte Cole. “Dies (Kolonial) war keiner von ihnen und dies war vermeidbar.”
Jetzt ist es an der Zeit, auf einen stärkeren Schutz zu drängen, fügte er hinzu.
“Jeder, der an Tankstellen wartet oder kein Benzin bekommen kann, muss das erkennen, damit er den richtigen Druck auf den Gesetzgeber ausübt”, sagte er.
Da laxe Cybersicherheit die Infrastruktur beeinträchtigen kann, besteht eine einfache Lösung darin, Geld für Verbesserungen in Bidens Infrastrukturplan aufzunehmen.
“Schreiben Sie es in die Rechnung”, sagte Nance, der pensionierte Geheimdienstoffizier. “Lassen Sie die US-Regierung dafür bezahlen.”
