Überparteilicher Gesetzentwurf schlägt Cybersicherheitsfonds für ländliche Wassersysteme vor

Ein neuer Gesetzentwurf sieht vor, die Finanzierung der Cybersicherheit für ländliche Wassersysteme um 7,5 Millionen Dollar pro Jahr zu erhöhen. Für einen Teil der kritischen Infrastruktur ist das nicht viel Geld, aber für einen Bereich, dem andere Mittel fehlen, ist es besser als nichts.

Der Gesetzentwurf wurde am 5. Juni 2023 bekannt gegeben. „Der Kongressabgeordnete Don Davis (NC-01) sowie die Abgeordneten Zachary Nunn (IA-03), Angie Craig (MN-02) und Abigail Spanberger (VA-07), Mitglieder des Der Landwirtschaftsausschuss des US-Repräsentantenhauses hat den Cybersecurity for Rural Water Systems Act von 2023 eingeführt.“

Der Gesetzentwurf (PDF) ist eine einfache Änderung, die die bestehende Gesetzgebung um 7,5 Millionen US-Dollar pro Jahr erhöht und besagt, dass die neuen Gelder, die für jedes Jahr von 2024 bis 2028 bereitgestellt werden, „für die Bereitstellung technischer Hilfe im Bereich der Cybersicherheit verwendet werden sollen“.

Der Vorfall in Oldsmar, bei dem erstmals berichtet wurde, dass sich ein Hacker aus der Ferne Zugang zu den Systemen des Wasserwerks in Oldsmar (Florida) verschafft hatte und versuchte, die Konzentration einer bestimmten Chemikalie so weit zu erhöhen, dass die Öffentlichkeit dem Risiko einer Vergiftung ausgesetzt war, ist ein Beispiel für die Notwendigkeit einer verbesserten Cybersicherheit. Obwohl der Vorfall Alarm auslöste, heißt es in jüngsten Berichten zu dem Vorfall, dass er nicht von einem externen Hacker stammte, sondern von einem Mitarbeiter, der versehentlich auf die falschen Schaltflächen geklickt hatte, bevor er das Management über den Fehler informierte. GCN zitierte den ehemaligen Oldsmar City Manager Al Braithwaite, der es als „kein Ereignis“ bezeichnete, das innerhalb von zwei Minuten gelöst wurde.

Lesen Sie auch  Das Rubbermaid-Lebensmittelbehälter-Set gibt es bei Amazon mit 20 % Rabatt

„Die Realität ist, dass Iowas Wasserversorgung derzeit durch einen einzigen Cyberangriff zerstört werden könnte, daher muss die Verbesserung der Cybersicherheit unserer Wassersysteme oberste Priorität haben“, sagte Rep. Nunn. „Leider sind die Änderungen, die erforderlich sind, um unsere Wasserversorgung sicher zu halten, für kleinere ländliche Gemeinden oft unerschwinglich. Dieser parteiübergreifende Gesetzentwurf wird wichtige Ressourcen und Mittel zur Verhinderung von Cyberangriffen bereitstellen, damit alle Iowaner nachts beruhigt sein können, weil sie wissen, dass unsere Wasserversorgung sicher ist.“

Die große Frage ist, ob der neue Gesetzentwurf richtig ausgerichtet ist und ob er genügend Mittel bereitstellt, um etwas zu bewirken.

„Dieser Gesetzentwurf konzentriert sich auf sehr spezifische und kleine Wasserversorger, die weniger als 10.000 Kunden bedienen … (Oldsmar würde nicht unbedingt die Anforderungen für diesen Finanzierungsweg erfüllen.) Der vorgeschlagene Gesetzentwurf sieht jährlich 7,5 Millionen US-Dollar für einen Zeitraum von fünf Jahren vor, um diese Versorgungsunternehmen bei Cybersicherheitsproblemen zu unterstützen durch ‚technische Unterstützung‘ im Rahmen des USDA-Circuit-Rider-Programms“, sagte Ron Fabela, CTO bei Xona Systems Sicherheitswoche. „Dieser Gesetzentwurf zielt darauf ab, das USDA kreativ zu nutzen [US Dept of Agriculture] Programm zur Unterstützung kleiner Wasserversorger bei der Verbesserung ihrer Sicherheitslage.“

Werbung. Scrollen Sie, um weiterzulesen.

Mike Hamilton, CISO bei Critical Insight, fügt hinzu: „Dieser Gesetzentwurf scheint ein Versuch zu sein, die Haushaltslücke zu schließen, die durch die neuen Mandate der EPA zur Durchführung einer Cybersicherheitsbewertung im Rahmen ihrer regelmäßigen Gesundheitsumfrage entsteht.“ Dies ähnelt stark der Verpflichtung der Küstenwache, dass Seehäfen im Rahmen des „Anlagensicherheitsplans“, der ebenfalls schon seit langem besteht, eine ähnliche Bewertung durchführen müssen.“

Der Gesetzentwurf, fährt er fort, „scheint eher eine Nivellierung zugunsten ländlicher privater Wasserversorger zu sein, die nicht am staatlichen, lokalen Cyber-Förderprogramm teilnehmen können.“ Es handelt sich um eine interessante Taktik, die anscheinend versucht, Zinserhöhungen zu vermeiden, um die erforderlichen Kontrollen in ländlichen Gebieten zu finanzieren, in denen Zinserhöhungen sehr unwillkommen wären.“

Lesen Sie auch  Skillsoft wird am 6. Juni die Finanzergebnisse für das erste Quartal 2024 bekannt geben

Aber ist es genug? „Die Finanzierung ist eine zentrale Herausforderung, und wenn man bedenkt, dass sich dieser Gesetzentwurf nur auf die sehr kleinen Wasserversorgungsunternehmen konzentriert, mag dies von manchen als ‚Tropfen auf den heißen Stein‘ aus nationaler Strategieperspektive angesehen werden, ist aber für die Empfängerorganisationen von entscheidender Bedeutung.“ kommentiert Fabela.

„Das reicht bei weitem nicht aus“, sagt Hamilton. „Wenn dies die Größe des Geldbeutels ist, müssen sie eine risikobasierte Priorisierung vornehmen, wer die Mittel erhält.“ Obwohl es kein Wassernetz gibt, das in weiten Teilen des Landes zu kaskadierenden Problemen führen kann, wären Störungen dennoch problematisch.

„Wasserquellen liegen im Allgemeinen geografisch in der Nähe“, erklärt Hamilton. „Allerdings führt die Störung des Wassers zu kaskadierenden Ausfällen. Beispielsweise benötigt die Produktion viel Wasser, Krankenhäuser können ohne Wasser nicht funktionieren. Andere Wasserpflanzen wären von einem Angriff nicht betroffen, wohl aber eine weite Region.“

Diese Finanzierung ist wichtig, aber wahrscheinlich nicht ausreichend für alle Cybersicherheitsbedürfnisse. Ländliche Gewässer müssen sich weiterhin so gut wie möglich schützen. Wie? „Indem man die gesamte persönliche Nutzung des Internets auf ein persönliches Gerät verbannt, während man sich auf dem Gelände eines Wasserversorgers (Abfall, Staudamm usw.) befindet“, schlägt Hamilton vor. „Durch die sorgfältige Verwaltung des Fernzugriffs; Aktualisierung und Aktualisierung der Betriebstechnologien; und Überwachung der OT-Umgebung mit 24/7/365-Blick auf Ereignisse – und einem guten Plan zur Reaktion auf Vorfälle.“

Verwandt: Ungepatchte Sicherheitslücken setzen Wasserpumpensteuerungen Remote-Hackerangriffen aus

Verwandt: EPA beauftragt Staaten, über Cyber-Bedrohungen für Wassersysteme zu berichten

Verwandt: Weltweit verwendetes Wassertank-Managementsystem weist ungepatchte Sicherheitslücke auf

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.