Breve breve:
Dive Insight:
Los nuevos requisitos de INSM llenarían un vacío en la seguridad de los servicios públicos, dicen los expertos en seguridad, pero otros permanecen y el proceso para parcharlos es largo.
"El monitoreo interno de la red fue definitivamente una brecha en los estándares de CIP, y me alegro de que se llene. Pero el escándalo real es cuántas otras brechas hay", dijo el consultor de seguridad Tom Alrich, señalando el ransomware, el phishing y el largoAtaques de término conocidos como amenazas persistentes avanzadas.A menudo, las empresas de servicios públicos están abordando estas amenazas por su cuenta, dijo.
Si bien los requisitos actuales de CIP se centran en prevenir un ataque, Miller dijo que la seguridad moderna también se centra en identificar las infracciones cuando las contramedidas han fallado."La reglamentación propuesta aborda esta necesidad", dijo.
La inclusión de los requisitos de INSM en los estándares CIP garantizaría que las empresas de servicios públicos mantengan la visibilidad sobre las comunicaciones dentro de sus redes y "no simplemente monitoreen las comunicaciones en el perímetro de la red", dice la regla propuesta.En el caso de un ataque exitoso, una mejor supervisión interna "aumentaría la probabilidad de detección temprana de actividades maliciosas y permitiría una mitigación y recuperación más rápidas de un ataque".
La falta actual de requisitos de INSM es importante pero "no es crítico", dijo en un correo electrónico Mark Carrigan, vicepresidente cibernético de seguridad operativa y tecnología operativa en Hexagon PPM.
"Implementar la tecnología de monitoreo de red es un paso importante para un programa de seguridad general, pero no es una 'bala de plata' que reducirá drásticamente el riesgo para la infraestructura crítica de la nación", dijo.
Dependiendo del alcance requerido para la implementación, Carrigan también dijo que la nueva regla "podría ser una iniciativa muy costosa que no tendrá una mejora dramática con la seguridad".Los sistemas de control más antiguos que operan la infraestructura crítica a menudo no pueden servir información a una solución de monitoreo de red, dijo, y si esas redes deben actualizarse "podría costar a una empresa millones de dólares, y la cantidad de reducción de riesgos puede no valer la pena el costo."
En cuanto a la aplicación de la regla a las instalaciones de bajo impacto, Miller dijo que hay tecnología estándar para el monitoreo de detección de OT.
Carrigan dijo que los nuevos requisitos no deben agregarse para las instalaciones de menor impacto."El problema de requerir un cierto enfoque en todos los activos es que puede terminar gastando mucho dinero en programas que no reducen mucho riesgo", dijo.
Alrich advirtió que el proceso para desarrollar estándares CIP es demasiado complicado, y no se debe requerir nuevos estándares para abordar nuevas amenazas, "o como en este caso, una amenaza de larga data".
"Si tenemos suerte, este nuevo estándar podría estar vigente en tres años, pero podría llevar más tiempo que eso", dijo Alrich.