米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、水道事業など重要なインフラ施設をハッカー攻撃から守るため、これらの重要インフラ施設に対して無料のセキュリティスキャンを提供すると発表した。
このプログラムは環境保護庁 (EPA)、水道セクター調整評議会 (WSCC)、および州飲料水管理者協会 (ASDWA) と共同開発されたもので、すべての飲料水および下水システム運営者に登録を求めています。プログラム。
「公共の場にあるデバイスによって引き起こされる脆弱性についてネットワークを外部からスキャンすることで、公共施設でのサイバー攻撃のリスクを軽減できます。」 プログラムの説明を読みます
「(CISA) は、無料の脆弱性スキャン サービスのサブスクリプションにより、飲料水と下水システムの脆弱性を特定して対処するのを支援できます。」
このプログラムは、CISA のエージェントに特殊なスキャナーを実行させ、施設のインターネットに公開されたエンドポイントを特定し、ハッカーによって悪用されることが知られているエンドポイントの脆弱性や構成ミスを発見することで機能します。
その後、CISA は行動推奨事項を含む週次レポートを送信し、その後のスキャンにより、水道事業者が以前に明らかになった問題を軽減するために必要な措置を講じたかどうかを判断します。
重大度が非常に高い欠陥や、積極的に悪用されていることが知られている脆弱性については、最初のレポートが 24 時間以内に生成され、再スキャンが 12 時間ごとに実行されます。
リスクの低い欠陥の場合、発見された問題の重大度の評価に応じて、再評価は 1 ~ 6 日で行われます。
サイバーセキュリティ局は、自動スキャナーはプライベートネットワークにアクセスせず、いかなる変更も実行できないため、利害関係者にデータが漏洩するリスクはないと述べています。
プログラムに登録するには、件名を「脆弱性スキャン サービスのリクエスト」として、ユーティリティの名前とアドレスを添えて vulnerability@cisa.dhs.gov に電子メールを送信してください。CISA エージェントが次の手順に関するガイダンスを返信します。
最近の違反事件により、水処理施設のセキュリティが注目を集めています。
ランブラー・ギャロ社がカリフォルニア州のディスカバリー・ベイ水処理施設を侵害しようとする意図的な試みは、不適切なアクセス管理によってもたらされる危険性を示しており、その危険は住民1万5000人の健康と安全にまで及んだ。
米国上下水道システム (WWS) が公共施設に対するランサムウェア攻撃の増加を報告していることから、水道施設の保護が公衆衛生上の優先事項であるだけでなく、国家安全保障にとっても重要であることは明らかです。
Comments