DHS ostrzega przed skalą zagrożeń w Stanach

Departament Bezpieczeństwa Krajowego USA (DHS) przedstawił rozporządzenia bezpieczeństwa dla automatycznych systemów kontrolnych, głównie w sferze energetyki, aby chronić instalacje przeciwko atakom z zewnątrz i cyberatakom.

O dziwo, dla dokumentu zajmującego się głównie automatycznymi systemami kontroli w odróżnieniu od danych sieciowych, dokument ten zawiera zalecenia dotyczące zabezpieczeń przeciw spam i inżynierii społecznej, czyli zagrożenia zwykle nie powiązane z systemem kontrolnym.

Firma zajmująca się bezpieczeństwem „Verisign” wyraziła swoje obawy w ostatnim numerze tygodnika - biuletynu iDefense, większość tych problemów, które, jak niektórzy sądzą, nigdy nie „wywędrują” ze świata komputerów do świata kontroli systemów (typu inżynieria społeczna, spam itp.) lub też będą równie rzadkie że prawie nieistotne, są najwyraźniej na tyle wystarczające by mogły być uważane za kwestie obaw dla systemów kontrolnych.

Wiele z zaleceń znajdujących się w szkicu katalogu wymogów systemów kontrolnych z czerwca 2007 opisuje podstawowe środki cyber-zabezpieczeń.

Te dotyczą instalowania oprogramowań antywirusowych i zapewnień, że DNS nie jest używany przez systemy kontroli do ochrony przed odmową ataków na serwis.

Inne zalecenia dotyczą m.in. nie używania VIP, IM, FTP, HTTP i plików dzielonych z systemami kontrolnymi.

Dokument zwraca również uwagę na to, że zdalne uaktualnienia oprogramowań antywirusowych są wykonywane, gdy system kontrolny znajduje się w trybie offline, np. jest odłączony od oprzyrządowania, które kontroluje.

Projekt katalogu został sporządzony po konsultacji z Narodowym Instytutem Standaryzacji i Technologii i z czterema Krajowymi Laboratoriami, które faktycznie są regionalnymi naukowymi oddziałami amerykańskiego Departamentu Energii, często obsługiwanego przez prywatne firmy lub główne uniwersytety, tj. Argonne, Idaho, Pacific Northwest czy Sandia.

Podczas gdy wysoki stopień współpracy jest mile widziany przez sektor bezpieczeństwa, zwraca uwagę na rosnące obawy, przed atakami z zewnątrz i cyberatakami na przemysł energetyczny, które mogłyby spowodować wielką szkodę dla całych Stanów Zjednoczonych.

Od początku działalności 20 września 2001 roku, Departamentowi Bezpieczeństwa Krajowego USA (DHS) przyznano potężną władzę i nadal rośnie w siłę i wpływy.

Mimo że zalecenia projektu katalogu nie są przeznaczone po to, by były legalnie obowiązujące, to fakt że katalog został opublikowany przez DHS znaczy, że jego zalecenia są znaczącej wagi dla tych, którzy są odpowiedzialni za bezpieczeństwo wytwarzania energii i instalacji dystrybucyjnych.

Pomoc: Gosia Gralec

Realizacja: SIPLEX Studio