В значимом шаге по защите критической инфраструктуры штат Нью-Йорк ввел новые правила кибербезопасности и программу грантов на сумму 2,5 миллиона долларов, специально предназначенные для систем общественного водоснабжения и водоотведения. Эта инициатива, объявленная губернатором Кэти Хокул, направлена на укрепление цифровой защиты сектора, который все чаще становится мишенью для ransomware-банд и угроз, спонсируемых государствами. Нормативная база требует, чтобы все системы общественного водоснабжения проводили оценку уязвимостей, разрабатывали планы действий в чрезвычайных ситуациях и сообщали о киберинцидентах государственным органам. Этот мандат отражает растущее осознание того, что объекты очистки и распределения воды — это не просто физические активы, но и ключевые узлы в высокоуязвимой среде промышленных систем управления (ICS) и операционных технологий (OT).
Финансирование штата в размере 2,5 миллиона долларов будет распределено в виде грантов, чтобы помочь коммунальным предприятиям, особенно небольшим и средним системам с ограниченными ресурсами, соответствовать новым требованиям. Гранты предназначены для покрытия расходов, связанных с такими критически важными шагами, как развертывание инструментов мониторинга сети, сегментация сетей ИТ и ОТ, внедрение многофакторной аутентификации (MFA) и обеспечение базового обучения персонала по кибербезопасности. Эта финансовая поддержка крайне важна, поскольку многие муниципальные водоканалы работают по ограниченным бюджетам и не имеют выделенного ИТ-персонала, что делает их главными целями для кибершантажа. Программа подчеркивает переход от добровольных рекомендаций к обязательным стандартам, стремясь создать базовый уровень безопасности во всем водном секторе штата.
Нормативное давление происходит на фоне серии громких кибератак на водные объекты по всей территории Соединенных Штатов. Инциденты с ransomware на объектах в Калифорнии, Мэне и Техасе, а также атаки хакеров, связанных с Ираном, на системы в Пенсильвании, продемонстрировали реальные последствия таких нарушений, включая потенциальные сбои в подаче безопасной питьевой воды. Правила Нью-Йорка частично основаны на федеральных требованиях Агентства по охране окружающей среды США (EPA) по кибербезопасности для водного сектора, действие которых в настоящее время приостановлено, что указывает на попытку штата заполнить нормативный пробел. Принимая упреждающие меры, Нью-Йорк стремится предотвратить сценарии, при которых злоумышленники могут манипулировать уровнями химикатов, отключать насосы или похищать конфиденциальные операционные данные.
Эксперты в области промышленной кибербезопасности в основном одобрили этот шаг, отметив, что единые стандарты и финансовая помощь жизненно важны для защиты инфраструктуры, фундаментальной для общественного здравоохранения и безопасности. Однако проблемы остаются, включая необходимость постоянного финансирования, сложность защиты устаревшего оборудования ОТ, которое изначально не было предназначено для подключения к сетям, и постоянную эволюцию киберугроз. Комбинированный подход Нью-Йорка, включающий регулирование и гранты, может послужить моделью для других штатов, стремящихся повысить устойчивость своей собственной критической инфраструктуры перед лицом эскалации цифровых угроз. Успех этой инициативы будет зависеть от эффективной реализации, сотрудничества между государственными органами и коммунальными предприятиями, а также постоянного приоритета кибербезопасности в операционной деятельности.
