澳大利亚:是时候让港口的网络安全成为强制性要求
作者: 发布时间:2021年06月04日 浏览量:350 字体大小: A+ A-
5月 7 日,一条输送美国东海岸几乎一半燃料的管道系统遭到一次重大网络攻击而瘫痪。因此弗吉尼亚州、北卡罗来纳州和佛罗里达州宣布进入紧急状态,Colonial油管关闭五天导致燃料短缺和恐慌性购买。
这次攻击凸显了在网络安全威胁日益加剧的时代,燃料管道等关键基础设施是多么脆弱。在澳大利亚,有观点认为现在是强制关键基础设施公司实施严格的网络安全措施的时候了。
附带损害
关键基础设施遭受网络攻击的风险并不新鲜。2001 年9 月 11 日事件发生后,研究表明,在我们分析脆弱性和关键基础设施保护问题时,需要解决全球安全风险。我们还提出了确保关键供应链基础设施安全的系统,例如海港和包括集装箱运输管理在内的实践。
“勒索软件”攻击(攻击者从组织系统中获取重要数据并要求赎金以换取其回报)的兴起增加了风险。这些攻击可能会产生意想不到的后果。
有证据表明Colonial油管关闭是此类攻击的结果,针对了其数据。该公司似乎关闭了油管网络和其他一些操作,以防止恶意软件传播。这导致了一系列意想不到的社会影响和附带损害。
事实上,攻击者可能对他们造成的破坏程度感到惊讶,现在似乎已经不敢再肆意妄为。
我们现已经看到关键的供应链基础设施如何作为附带损害而受到严重破坏,而我们必须考虑直接攻击的后果可能有多严重。
关键基础设施是一个有吸引力的目标
网络风险框架通常源自传统的风险管理方法,将潜在的网络攻击问题作为常规风险进行处理。这些风险管理方法权衡了防止网络攻击的成本与违规的成本和可能性。
在某些行业中,此评估将考虑可能永远不会回来的客户群流失的成本。然而,运输、医疗、电力、水和食品等关键服务的供应商几乎没有失去客户的风险。
Colonial事件发生后,客户尽快回到加油站继续购买燃料。因此,与其他行业的公司相比,关键行业可能会从违规中感受到更少的成本损失,因为他们的客户会回来。
合规时间
澳大利亚在网络安全方面的国家努力由澳大利亚网络安全中心 (ACSC) 在澳大利亚通信局的支持下进行协调。ACSC 与公共和私营部门组织合作,共享有关威胁的信息和最佳安全实践指南。
ACSC文件(如基本八项)为组织提供基线安全措施的指导。这些补充了更全面的资源,包括澳大利亚政府信息安全手册。
然而,澳大利亚的研究表明,即使澳大利亚政府自己的网站也没有普遍遵循最佳做法。
缺乏知识不是问题。ACSC 通常很好地理解和记录安全最佳实践。ACSC 还为关键部门和行业提供具体指导,例如为能源部门开发的安全框架。
这里的挑战是这些只是指导方针。公司可以选择是否遵循它们。
澳大利亚需要的是网络安全合规计划。这意味着管理港口或油管等关键基础设施的公司必须遵守某种规则。
第一步可能是要求这些公司遵守现有准则,并要求对网络安全基线进行认证。
美国的教训
美国政府以行政命令回应了Colonial的网络攻击,以改善网络安全和联邦政府网络。该命令提出了一系列措施来使标准现代化并改善信息共享和报告要求。这些都是有价值的措施,其中许多已经在澳大利亚 ACSC 的现有职责范围内。
美国命令中的另一项措施是建立独立的网络安全审查委员会。澳大利亚同样可以在政府和行业之间建立伙伴关系,以监督网络安全。一个类似的机构已经对航空进行了监管:民航安全局。
这样的组织将对网络事件提供可靠的分析和报告。它还将与信息技术经理、软件和硬件开发商、公共管理人员、危机管理人员等共享信息。
网络安全威胁给公共和私营部门带来了高度的不确定性。破坏关键供应链基础设施的攻击对社会和贸易产生广泛影响。
网络安全合规计划可能在财务上成本高昂,但考虑到成功的网络攻击的社会影响,这将是一项值得的投资。
来源:沃燊海事