导航网络安全威胁和监管合规在美国的水和废水公用事业

美国面临网络安全威胁.S. 过去12个月，供水和污水处理设施升级，导致工厂运营严重中断. 

随着公用事业越来越多地投资于现代监控和数据采集(SCADA)和工业控制系统, 网络安全攻击面不断扩大, 需要工厂信息技术(IT)和安全团队提高警惕. 然而, 许多供水和污水处理设施在有限的网络安全预算下运行, 平衡运营性能和安全与IT和网络安全. 如今，公用事业公司面临的挑战是，在保持对核心运营目标的关注的同时，防范可能造成严重损害的日益复杂的网络攻击. 

最近来自美国的指令和监管行动.S. 政府现在要求供水和污水处理设施实施基本网络安全标准，并及时向国土安全部网络安全首页安全局(CISA)报告重大事件。. 值得注意的是新推出的 《2022年关键首页法案网络事件报告 (CIRCIA)立法要求水务实体对重大网络事件进行分类和报告, 确保运营和网络数据的可审计性. 

在雅各布斯，我们在水务领域发挥着至关重要的作用. 从我们开始, 我们在世界各地设计了成千上万的供水和污水处理系统, 目前在全美运营着250多家.S. 此外，我们还提供网络安全和风险管理咨询支持，包括美国.S. 环境保护署(EPA)授权 美国水首页法案(AWIA) 风险和弹性评估(RRA)，优先考虑网络安全准备. 我们的专业知识涵盖传统的工厂运营, SCADA系统, 当代网络安全实践, 使我们能够协助公用事业公司达到现行标准并遵守CIRCIA的要求. 

介绍我们的网络准备评估   

不断上升的网络威胁水平和不断增加的监管要求迫使供水和污水处理设施评估其当前是否符合ISA/IEC 62443等标准, NIST 800 - 53年, 和NIST 800-82. 随着OT越来越多地采用IT解决方案来增强业务系统的连通性和网络性能, OT资产变得更容易受到软件攻击. 如果没有正确分割，这些漏洞可能会对企业IT系统产生影响. 

AWIA规定，美国的社区供水系统.S.，为3300多人提供服务，到2025年认证他们的风险和弹性计划. 这些计划包括涵盖资产和数据保护的强大网络安全评估, 网络监控协议和事件响应. 公用事业必须确保资产, 从泵站到IT网络, 坚持当代网络安全标准. 

许多公用事业公司将从跨IT和OT资产的独立网络安全评估中受益匪浅. 这些评估可以诊断漏洞并建议实际的纠正措施, 考虑到操作, 安全和预算限制. 在雅各布, 我们了解公用事业运营商的优先事项，以及管理复杂生产和清洁水输送业务的管理团队所做的权衡. 我们的经验将运营洞察力与特定行业的网络安全实践相结合, 使我们能够负责任地诊断和实施公用事业的网络安全流程和技术. 

我们的评估框架包含了最新的网络威胁情报. 与运营和IT领导紧密合作, 我们识别漏洞并建立威胁优先级, budget-aligned路线图. 该路线图包括流程实现, 培训IT和OT人员，并对技术进行投资，以满足当前的网络安全标准. 通过我们的网络评估，公用事业公司对所有领域的漏洞都有了清晰的认识，并制定了切实可行的执行计划，以缓解和持久的网络弹性. 

接下来是什么?

4月4日, 2024, CISA发布了一项名为“关键首页法案(CIRCIA)报告要求的网络事件报告”的拟议规则.该法案最初于3月15日由拜登总统签署成为法律, 2022年，涵盖总统政策指令-21中概述的16个关键首页部门. 关键首页部门的实体，要么超过小企业规模标准，要么符合基于部门的标准，就必须遵守该规则. 结果是, 所有供水和污水处理设施服务人口超过3,300人将被要求遵守CIRCIA基于行业标准的报告标准. 

新提案的重点是受保实体遭遇的“重大网络事件”. 符合这一标准的事件包括大量丧失机密性, 完整性, 或IT系统和网络的可用性. 它还包括对OT和物理过程的安全性和弹性的影响. 更广泛地说, 对受保实体从事商业或工业运营能力的任何破坏，以及对云服务提供商的未经授权的入侵，都将包括在内, 托管服务提供商, 第三方数据托管提供商或供应链妥协. 

该提案还为涵盖的事件设定了新的提交时间表. 所有重大网络事件必须在承保实体“合理相信”承保事件发生后72小时内报告. 重要的是，勒索软件付款必须在付款后24小时报告. 公众对该规定的意见将于2024年6月发表，最终规则的发布截止日期为2025年10月. 

随着CIRCIA离实施越来越近, 公用事业公司必须开始为一系列新的报告要求做准备. 这包括建立新的系统和数据管理流程，以提高安全性可见性和报告的便利性. 可能还需要额外的IT和OT数据首页来存储网络日志和其他可审计数据. 应更新应急响应计划，以纳入网络安全缓解和响应，包括与利益攸关方的详细沟通计划. 总之, CIRCIA需要一种新的网络安全数据管理和响应模式，公用事业公司必须迅速开始准备. 

在雅各布, 我们已经创建了网络准备评估框架，以帮助公用事业公司了解从网络到工厂车间的网络安全状况. 我们的综合方法首先确定与最新威胁情报相一致的差距，并为在现代水/废水公用事业中建立全方位网络安全防御设定路线. 我们理解系统的角色, 数据和利益相关者在整个公用事业环境中发挥作用，建立切实可行的流程和推荐的技术采用，以实现强大的网络安全，同时专注于手头的运营工作.  最后, 我们的敏捷网络准备解决方案开始为实体准备CIRCIA合规性，重点是报告效率和完全符合监管要求.