ما مدى ضعف البنية التحتية الحرجة للهجوم الإلكتروني في الولايات المتحدة؟

إن أنظمة المياه والصحت والطاقة لدينا معرضة بشكل متزايد للهجوم الإلكتروني.

الآن ، عندما تتصاعد التوترات – مثل عندما قصفت الولايات المتحدة المرافق النووية في إيران هذا الشهر – تصبح سلامة هذه الأنظمة مصدر قلق كبير. إذا اندلع الصراع ، فيمكننا أن نتوقع أن تكون معركة “هجينة” ، كما يروي جوشوا كورمان ، التنفيذي في الإقامة من أجل السلامة العامة والمرونة في معهد الأمن والتكنولوجيا (IST) ، ، حرية.

تمتد ساحات المعركة الآن إلى العالم الرقمي ، مما يجعل بنية تحتية حرجة في العالم الحقيقي هدفًا. لقد تواصلت لأول مرة مع IST لخبرتهم في هذه القضية في عام 2021 ، عندما أجبر هجوم الفدية خط الأنابيب الاستعمارية – وهو شريان رئيسي ينقل ما يقرب من نصف إمدادات الوقود في الساحل الشرقي – على الانترنت لمدة أسبوع تقريبًا. منذ ذلك الحين، حرية وقد غطت أيضًا ارتفاعًا في الهجمات الإلكترونية ضد أنظمة المياه المجتمعية في الولايات المتحدة ، ومحاولات أمريكا لإحباط الاعتداءات التي تدعمها الحكومات الأخرى.

لم يحن الوقت للذعر ، يطمئن كورمان لي. ولكن من المهم إعادة تقييم كيفية حماية المستشفيات وإمدادات المياه وغيرها من شريان الحياة من الهجوم الإلكتروني. يحدث أن تكون هناك حلول تمثيلية تعتمد على الهندسة البدنية أكثر من وضع جدران الحماية الإلكترونية.

تم تحرير هذه المقابلة للطول والوضوح.

كشخص يعمل على الأمن السيبراني للمياه ومياه الصرف الصحي ، والرعاية الصحية ، وسلاسل الإمداد الغذائي ، وأنظمة الطاقة – ما الذي يبقيك في الليل؟

يا فتى. عندما تنظر عبر ما نحدده كوظائف حرجة من شريان الحياة ، فإن الاحتياجات الإنسانية الأساسية – المياه ، المأوى ، السلامة – هذه هي من بين بعض من أكثرنا معرضًا للمعرض والاستعداد. مع الاتصال العظيم تأتي مسؤولية كبيرة. وعلى الرغم من أننا نواجه من أجل حماية بطاقات الائتمان أو مواقع الويب أو البيانات ، فإننا نستمر في إضافة البرامج والاتصال إلى البنية التحتية لخط الحياة مثل المياه والمستشفيات والمستشفيات.

كنا دائما فريسة. كنا مجرد نوع من البقاء على قيد الحياة على شهية الحيوانات المفترسة لدينا ، وهم أكثر عدوانية.

ما مدى ضعف هذه الأنظمة في الولايات المتحدة؟

ربما تكون قد شاهدت الارتفاع في Ransomware ابتداءً من عام 2016. وسرعان ما أصبحت المستشفيات الهدف رقم واحد المفضل لـ Ransomware لأنهم ما أسميه “Target Rich ، ولكن Cyber ​​Poor”. إن عدم توفر خدمتهم أمر مريح للغاية ، وبالتالي يمكن تحقيق عدم توفر بسهولة بالغة.

لديك هذا النوع من عدم التماثل والتغذية التي لا تتواصل ، حيث تكون جذابة وسهلة مهاجمة هذه الوظائف Lifeline. لكن من الصعب للغاية الحصول على الموظفين والموارد والتدريب والميزانية ، للدفاع عن وظائف شريان الحياة هذه.

إذا كنت مرفقًا صغيرًا للمياه الريفية ، فلن يكون لديك أي ميزانية للأمن السيبراني. في كثير من الأحيان نلقي على “فقط القيام بأفضل الممارسات ، فقط القيام بإطار NIST”. لكنهم لا يستطيعون حتى التوقف عن استخدام نهاية الحياة ، والتكنولوجيا غير المدعومة مع كلمات مرممة.

إنه حوالي 85 في المائة من مالكي ومشغلي كيانات البنية التحتية الحرجة من شريان الحياة المستهدفون الأثرياء والفقراء السيبرانيين.

خذ أنظمة المياه ، على سبيل المثال. تم العثور على Typhoon Volt بنجاح في المساومة على مرافق المياه الأمريكية ووظائف خدمة Lifeline الأخرى ، وهو يجلس هناك في الانتظار ، حرف الجر. [Editor’s note: Volt Typhoon is a People’s Republic of China state-sponsored cyber group]

الصين لديها على وجه التحديد نوايا تجاه تايوان في وقت مبكر من عام 2027. ويرغبون في الأساس أن تبقى الولايات المتحدة بعيدًا عن نواياها تجاه تايوان. وإذا لم نفعل ذلك ، فهم على استعداد لتعطيل وتدمير أجزاء من هذه المنشآت المعرضة للغاية والمعرضة للغاية. لا تملك الأغلبية الساحقة شخصًا للأمن السيبراني واحد ، ولم تسمع عن Typhoon Volt ، ناهيك عن معرفة ما إذا كان ينبغي لهم الدفاع عن أنفسهم. وليس لديهم الميزانية للقيام بذلك.

بالانتقال إلى الأخبار الحديثة والتصعيد مع إيران ، هل هناك أي شيء أكثر عرضة للخطر في هذه اللحظة؟ هل هناك أي مخاطر فريدة تشكلها إيران للولايات المتحدة؟

سواء أكانت روسيا أو إيران أو الصين ، أظهروا جميعًا أنهم على استعداد وقادر على التواصل مع مرافق المياه وشبكات الطاقة والمستشفيات وما إلى ذلك. أنا أكثر قلقًا بشأن المياه. لا يوجد ماء يعني عدم وجود مستشفى في حوالي أربع ساعات. أي فقدان للضغط على منطقة ضغط المستشفى لا يعني عدم قمع الحريق ، ولا تنظيف جراحي ، ولا صرف صحي ، ولا ترطيب.

ما لدينا هو زيادة التعرض الذي تطوعنا به مع البنية التحتية الذكية المتصلة. نريد الفائدة ، لكننا لم ندفع الثمن بعد. وكان ذلك على ما يرام عندما كان هذا في الغالب نشاطًا إجراميًا. ولكن الآن بعد أن يمكن استخدام نقاط الوصول هذه في أسلحة الحرب ، يمكنك أن ترى اضطرابًا شديدًا في البنية التحتية المدنية.

الآن ، لمجرد أنه يمكنك ضربها لا يعني أنك ستضربها ، أليس كذلك؟ أنا لا أشجع الذعر في الوقت الحالي على إيران. أعتقد أنهم مشغولون للغاية ، وإذا كانوا سيستخدمون هذه القدرات الإلكترونية ، فهذا افتراض أكثر أمانًا أنهم سيستخدمونها أولاً على إسرائيل.

الحيوانات المفترسة المختلفة لها شهية مختلفة ، وفريسة ، ودوافع.

في بعض الأحيان يطلق عليه Access Brokering ، حيث يبحثون عن حل وسط وينتظرون لسنوات. كما هو الحال في البنية التحتية الحرجة ، لا يقوم الناس بترقية معداتهم ، فإنهم يستخدمون أشياء قديمة جدًا. إذا كنت تعتقد أنه سيكون لديك هذا الوصول لفترة طويلة ، فيمكنك الجلوس عليه والانتظار بصبر حتى الوقت ومكان اختيارك.

فكر في هذا قليلا مثل حرب النجوم. منفذ العادم الحراري على نجمة الموت هو الجزء الضعيف. إذا ضربته ، فأنت تتسبب في الكثير من الضرر. لدينا الكثير من منافذ العادم الحرارية في جميع أنحاء المياه والرعاية الصحية على وجه التحديد.

ما الذي يجب عمله الآن للتخفيف من نقاط الضعف هذه؟

نحن نشجع شيئًا يسمى الهندسة المستنيرة عبر الإنترنت.

ما وجدناه هو أنه إذا تعرض مرفق المياه للخطر ، فقد تؤدي التغييرات المفاجئة في ضغط المياه إلى زيادة قوية ومدمرة لضغط المياه الذي يمكن أن ينفجر. إذا كنت تريد أن تنفجر المياه الرئيسية للمستشفى ، فلن يكون هناك ضغط مائي إلى المستشفى. لذا ، إذا كنت تريد أن تقول ، “دعونا نتأكد من أن الجيش الصيني لا يمكنه المساس بمرفق المياه” ، فيجب عليك القيام بأمن أمنية الإنترنت أو فصله.

ما نشجعه بدلاً من ذلك ، هو شيء أكثر دراية وعملية. تمامًا كما هو الحال في منزلك ، لديك قاطع دائرة ، لذلك إذا كان هناك الكثير من الجهد ، فأنت تقلب مفتاحًا بدلاً من حرق المنزل. لدينا ما يعادل قواطع الدوائر للمياه ، والتي ربما تكون 2000 دولار ، وربما أقل من 10،000 دولار. يمكنهم اكتشاف زيادة في الضغط وإغلاق المضخات لمنع الأضرار المادية. نحن نبحث عن التخفيف التناظري للهندسة البدنية.

إذا كنت ترغب في تقليل احتمال حدوث حل وسط ، فأنت تضيف الأمن السيبراني. ولكن إذا كنت تريد تقليل عواقب من التسوية ، يمكنك إضافة الهندسة.

إذا كانت أسوأ العواقب هي الهجوم الضار جسديًا ، فنحن نريد اتخاذ خطوات عملية بأسعار معقولة ومألوفة. لا تعرف نباتات المياه الإنترنت ، لكنها تعرف الهندسة. وإذا تمكنا من مقابلتهم على العشب والمساعدة في شرح العواقب لهم ، ثم تشارك في إنشاء تخفيفات مؤقتة ومؤقتة بأسعار معقولة ، يمكننا البقاء على قيد الحياة لفترة كافية للاستثمار بشكل صحيح في الأمن السيبراني لاحقًا.

واجهت الوكالات الفيدرالية بموجب إدارة ترامب تخفيضات في الميزانية والموظفين ، هل يؤدي ذلك إلى قدر أكبر من نقاط الضعف؟ كيف يؤثر ذلك على أمن البنية التحتية الحرجة لدينا؟

بغض النظر عن السياسة الفردية للأشخاص ، كان هناك أمر تنفيذي من البيت الأبيض في شهر مارس يحول أكثر من توازن القوة والمسؤولية تجاه الدول لحماية أنفسهم ، عن مرونة الأمن السيبراني. إنه توقيت مؤسف للغاية بالنظر إلى السياق الذي سنقوم به وأنه سيستغرق بعض الوقت للقيام بذلك بأمان وفعالية.

أعتقد ، بدون خبث ، كان هناك التقاء من العوامل الأخرى المساهمة مما يجعل الوضع أسوأ. بعض التخفيضات في الميزانية في CISA ، وهي المنسق الوطني في هذه القطاعات ، ليست رائعة. يعد مركز مشاركة المعلومات والتحليلات متعددة الولايات موردًا رئيسيًا لمساعدة الدول على خدمة نفسها ، وهذا فقد تمويله. وحتى الآن ، لم يؤكد مجلس الشيوخ مدير CISA.

يجب أن نزيد شراكاتنا الخاصة ، والشراكات الفيدرالية والولائية على مستوى الولاية ، ويبدو أن هناك اتفاقية من الحزبين على ذلك. ومع ذلك ، عانى وزارة الطاقة والخدمات الإنسانية في جميع المجالات في جميع المجالات ، ووزارة الطاقة و CISA بشكل كبير في الميزانية والموظفين والقيادة. لا يزال هناك وقت لتصحيح ذلك ، لكننا نحترق ضوء النهار على ما أراه ككمية صغيرة جدًا من الوقت لتشكيل الخطة ، وتوصيل الخطة ، وتنفيذ الخطة.

سواء كنا نريد هذا أم لا ، فإن المزيد من المسؤولية عن المرونة السيبرانية والدفاع والوظائف الحرجة هي الانخفاض في الولايات ، إلى المقاطعات ، إلى المدن ، للأفراد. لقد حان الوقت الآن للتعليم وهناك مجموعة من جهود المجتمع المدني والمجتمع المدني – أحدهم هو العمل الجيد الذي نقوم به مع هذا غير قابل للتوقف ، لكننا نشارك أيضًا في مجموعة أكبر تسمى الدفاع المدني عبر الإنترنت. وقمنا مؤخرًا بإطلاق مجموعة تدعى Cyber ​​Resilience Corps ، وهي منصة لأي شخص يريد التطوع للمساعدة في الأمن السيبراني للخدمات الصغيرة أو المتوسطة أو الريفية أو شريان الحياة. إنه أيضًا مكان للأشخاص للعثور على هؤلاء المتطوعين وطلبهم. نحن نحاول تقليل احتكاك طلب المساعدة وإيجاد المساعدة.

أعتقد أن هذه واحدة من تلك اللحظات في التاريخ حيث نريد ونحتاج إلى المزيد من الحكومات ، لكن سلاح الفرسان لا يأتي. سوف يسقط لنا.