ועידת צפון אמריקה להגנה על תשתיות קריטיות וחוסן

ועידת צפון אמריקה להגנה על תשתיות קריטיות וחוסן
יוסטון, טקסס
11-13 במרץ 2025

ועידת ההגנה על תשתיות קריטיות וחוסן צפון אמריקה תפגיש שוב בעלי עניין מובילים מהתעשייה, מפעילים, סוכנויות וממשלות כדי לשתף פעולה באבטחת צפון אמריקה.

הכנס יבחן פיתוח בנושא אירועים קודמים בסיוע ביצירת הבנה טובה יותר של הנושאים והאיומים, כדי לעזור להקל על העבודה לפיתוח מסגרות, ניהול סיכונים טוב, תכנון אסטרטגי ויישום.

ישנם 16 מגזרי תשתית קריטיים שהנכסים, המערכות והרשתות שלהם, בין אם פיזיים או וירטואליים, נחשבים כל כך חיוניים לארצות הברית, שלאי יכולתם או השמדתם תהיה השפעה מחלישה על הביטחון, הביטחון הכלכלי הלאומי, בריאות הציבור הלאומי או בטיחותם.

ממשל ביידן הוציא תזכיר תשתית קריטית חדש, שכותרתו מזכר ביטחון לאומי בנושא אבטחה וחוסן תשתיות קריטיות (NSM-22) שנועד להגדיר את תפקידה של הממשל הפדרלי, כולל אחריות לסוכנויות פדרליות ספציפיות, בהגנה על ארה"ב קריטית תַשׁתִית.

NSM-22 משמש להחלפת PPD-21, המכונה רשמית הנחיית המדיניות הנשיאותית - אבטחת תשתיות קריטיות וחוסן (pdf). PPD-21, מזכר שהוצא במהלך ממשל אובמה, ייעד 16 מגזרי תשתית קריטיים שיהיו כפופים לפיקוח נוסף באמצעות חוק Cyber ​​Incident Reporting for Critical Infrastructure Act של 2022 (CIRCIA).

בהתאם ל-CIRCIA, גופים הפועלים במגזרי תשתית קריטיים יחויבו לדווח על "אירועי סייבר מכוסים" בתוך 72 שעות מרגע שהישות פיתחה אמונה סבירה שהתרחשה תקרית סייבר. בנוסף, ישויות תשתית קריטיות חייבות לדווח על תשלומי כופר תוך 24 שעות לאחר ביצוע התשלום. CIRCIA האצילה סמכות לקבוע כללים ל-. כתבנו על הכלל המוצע של CISA המכיל דרישות דיווח על אירועי סייבר במאמר אחרון.

אנחנו חייבים להיות מוכנים!

התשתית הקריטית של האומה מספקת את השירותים החיוניים העומדים בבסיס החברה האמריקאית. מאמצים יזומים ומתואמים נחוצים כדי לחזק ולתחזק תשתית קריטית מאובטחת, מתפקדת וגמישה - לרבות נכסים, רשתות ומערכות - החיוניות לאמון הציבור ולבטיחות, שגשוג ורווחתה של המדינה.

תשתית קריטית חייבת להיות מאובטחת ומסוגלת לעמוד ולהתאושש במהירות מכל הסכנות. השגת זאת תדרוש אינטגרציה עם מערכת המוכנות הלאומית על פני מניעה, הגנה, הפחתה, תגובה והתאוששות.

NSM-22 מנחה סוכנויות פדרליות לקבוע "דרישות מינימום ומנגנוני אחריות אפקטיביים לאבטחה וחוסן של תשתית קריטית, כולל באמצעות מסגרות רגולטוריות מיושרות ואפקטיביות". NSM-22 ממשיך להורות לסוכנויות ולמחלקות הפדרליות "להשתמש ברגולציה, תוך הסתמכות על תקני הסכמה וולונטרית קיימים לפי הצורך" כדי לקבוע את דרישות המינימום ומנגנוני האחריות החלים על ישויות תשתית קריטיות. בנוסף, NSM-22 קובע כי "מנגנוני אחריות צריכים להתפתח ללא הרף כדי לעמוד בקצב של סביבת הסיכון של האומה".

NSM-22 מדגיש "מנגנון אחריות" פוטנציאלי באמצעות אימוץ דרישות חדשות בתהליך הרכש הפדרלי. לדוגמה, NSM-22 מעודד סוכנויות ומחלקות פדרליות להשתמש ב"מענקים, הלוואות ותהליכי רכש, כדי לדרוש או לעודד בעלים ומפעילים לעמוד או לחרוג מדרישות אבטחה וחוסן מינימליות". בנוסף, NSM-22 מנחה באופן ספציפי את מינהל השירותים הכלליים להבטיח שחוזים ממשלתיים לנכסי תשתית קריטית ומערכות מכילות "זכויות ביקורת מתאימות לאבטחה וחוסן של תשתית קריטית".

NSM-22 מנחה גם סוכנויות ביון אמריקאיות וגופי תשתית קריטיים לחזק את שיתוף הפעולה והמעורבות. לדוגמה, NSM-22 ממליץ לאפשר לבעלים ולמפעילים של ישויות תשתית קריטיות את ההזדמנות לזהות צרכי מודיעין וסדרי עדיפויות התומכים במאמצי אבטחה וחוסן ספציפיים.

אחד השינויים הבולטים ביותר הכלולים ב-NSM-22 הוא העלאת CISA כמתאם הלאומי למאמצי אבטחת סייבר של תשתיות קריטיות ברחבי הממשל הפדרלי והמגזר הפרטי. לדוגמה, NSM-22 מנחה את CISA לזהות ולסווג באופן ספציפי ישויות תשתית קריטיות מסוימות כ-Systemically Important Entities (SIEs).

למה צריך דיון כזה?

כל ראשי המחלקות והסוכנויות הפדרליות אחראים לזיהוי, תעדוף, הערכה, תיקון ואבטחה של התשתית הקריטית הפנימית שלהם התומכת בפונקציות חיוניות למשימה העיקרית. יש להתייחס לתשתיות כאלה בתוכניות ולבצע אותן בהתאם לדרישות מדיניות ההמשכיות הלאומית.

האופי המשתנה ללא הרף של איומים, בין אם הם טבעיים על ידי שינויי אקלים, או מעשה ידי אדם באמצעות פעילויות טרור, פיזיות או מתקפות סייבר, פירושו הצורך לבחון ולעדכן ללא הרף מדיניות, שיטות עבודה וטכנולוגיות כדי לענות על הדרישות הללו.

נושאי מאמר

|||