Colonial Pipeline-angrepet i 2021 var et vendepunkt for kritisk infrastruktur i USA. Da et løsepenge-angrep på en rørledningsoperatørs administrative nettverk metastaserte til skyhøye bensinpriser over hele østkysten; du burde tro at politikerne så på. Kappløpet var i gang for å beskytte kritisk nasjonal infrastruktur (CNI) – ryggraden i private og offentlige tjenester som holder landet i gang. 

Regjeringen flyttet for å styrke beskyttelsen på føderalt nivå, noe som førte til en strategi som inkluderte regulatoriske oppdateringer, full aktivering av ubrukte myndigheter og frivillige mekanismer for å bidra til å herde CNI mot angrep. For eksempel Department of Homeland Security (DHS) publiserte direktiver for å styrke rørledningssikkerheten. November 2021s Infrastructure Investment and Jobs Act skaffet ut betydelige midler til CNI-prosjekter på lokalt nivå. De Cyber ​​Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)pålagt CNI-hendelsesrapportering. 

I april 2024, nesten tre år etter koloniangrepet, fulgte president Biden opp innsats som disse med National Security Memorandum (NSM-22) om Critical Infrastructure Security and Resilience, som beskriver administrasjonens planer for å beskytte CNI mer detaljert. Dette dokumentet erstatter forgjengeren, Obama-tidens presidentpolitiske direktiv om kritisk infrastruktursikkerhet og motstandskraft (PD-21). Imidlertid beholder den fortsatt mange av PPD-21s konsepter, inkludert utpekingen av 16 kritiske nasjonale infrastruktursektorer som spenner fra kjemikalier til demninger og finansielle tjenester. 

NSM-22 krever minimumskrav til sikkerhet og motstandskraft på tvers av kritiske infrastruktursektorer. Det setter Department of Homeland Security (DHS) helt i førersetet for å lede regjeringens innsats for å beskytte CNI, og utpeker Cybersecurity & Infrastructure Security Agency (CISA) til National Coordinator for Security and Resilience. Som en del av denne strategien må Secretary of Homeland Security sende en toårig nasjonal risikostyringsplan til presidenten. 

Juniveiledningen representerer DHSs plan for denne første biennale syklusen. Secretary of Homeland Security Alejandro N. Mayorkas skisserte strategisk veiledning og nasjonale prioriteringer for de neste to årene for kritisk infrastruktursikkerhet og motstandskraft.  

Den nye veiledningen fokuserer på fem nøkkelområder, hvorav bare noen ble tangentielt nevnt i NSM-22: 

  • Ta tak i cybertrusler og andre trusler fra Folkerepublikken Kina 
  • Håndtere risikoer og muligheter som presenteres av kunstig intelligens og andre nye teknologier 
  • Identifisere og redusere sårbarheter i forsyningskjeden 
  • Inkorporere klimarisiko i sektorens motstandskraft 
  • Ta tak i den økende avhengigheten til kritisk infrastruktur av romsystemer og eiendeler 

Disse områdene er i tråd med økende bekymring for trusler mot CNI i den føderale regjeringen. For eksempel i januar, FBI-direktør Christopher Wray vitnet om Husets utvalgte komité for det kinesiske kommunistpartiet at Kina posisjonerte seg for å 'ødelegge' USAs CNI. 

DHS-veiledningen tar en samarbeidende tilnærming. DHS verver byråene som er ansvarlige for disse sektorene for å hjelpe til med å ta beskyttelsestiltak i disse områdene. Det vil også involvere føderale byråer, eiere og operatører av kritisk infrastruktur, og andre statlige og private interessenter. 

Disse beskyttelsestiltakene fordyper seg ikke i spesifikke trusler fra teknologi som AI. Snarere gjenspeiler de de som er skissert i NSM-22 med sikte på å aktivere interessenter. Den første er å bygge motstandskraft ved å lage en infrastruktur som kan komme seg raskt etter angrep. Dette erkjenner at bare å herde infrastrukturen for å stoppe angrep ikke er nok; operatører må anta at noen angrep vil lykkes. 

Resilienstiltak inkluderer uforstå systemavhengigheter og forutse potensielle kaskadeeffekter fra angrep. Veiledningen etterlyser også tverrsektoriell analyse av systemiske svakheter, og peker på at det er nøkkelressurser som mange sektorer er avhengige av. Energi er et godt eksempel, siden det tjener behovene til alle andre sektorer. NSM-22 hadde allerede bedt CISA om å lage en liste over systemisk viktige enheter – dominobrikker som, hvis de ble veltet, også kunne få andre til å krasje. 

Hver sektors etat må etablere obligatoriske grunnlinjekrav til motstandskraft, ideelt sett ved å bruke eksisterende retningslinjer og standarder fra myndighetene. Dette er noe Senter for cybersikkerhetspolitikk og lov har fremhevet: "det erkjenner at frivillige tilnærminger til sikkerhet og motstandskraft ikke har vært vellykket nok, og at obligatoriske minimumskrav er nødvendige," sier Ari Schwartz, koordinator ved CCPL. 

En sentral utfordring her vil være å håndheve disse kravene på tvers av offentlig sektor. Veiledningen foreslår at byråer bruker en blanding av bevilgnings- og innkjøpsmyndigheter for å få disse grunnleggende tiltakene til å holde seg. Dette vil også bety å jobbe med tjenesteleverandører (veiledningen omtaler spesifikt skyleverandører) for å sikre at tjenestene deres er utformede sikre. 

Svarene fra i det minste noen sektorer på nylige CNI-beskyttelsestiltak har vært forsiktig optimistiske. For eksempel, da Det hvite hus ga ut NSM-22, Association of State Drinking Water Administrators (ASDWA)svarte: «Selv om det er uklart hvordan den nye NSM vil påvirke den pågående innsatsen for å øke motstandskraften på tvers av vann- og avløpsvannsektoren, fortsetter ASDWA å samarbeide med EPA og sektorpartnere for å støtte statlige og føderale aktiviteter for å håndtere alle farer, inkludert den siste innsatsen å sette opp en Cybersecurity Task Force for Water for å møte de økende cybertruslene som utfordrer sektoren." 

DHS-veiledningen la ikke mye til det eksisterende memorandumet annet enn å avklare spesifikke fokusområder som har blitt mye diskutert i ulike executive orders og cybersecurity-strategier. Det er imidlertid ikke det eneste dokumentet som CISA har publisert om infrastrukturresiliens. I mars 2024 publiserte den en Infrastructure Resilience Planning Framework (IRPF) for å hjelpe interessenter med å planlegge for mer robust infrastruktur som er mer motstandsdyktig mot angrep. Den ga nylig ut en spillebok til følge med dette rammeverket. Arbeid som dette for å skjerpe operativ motstandskraft pågår og vil munne ut i en nasjonal plan for infrastrukturvern for 2025. Dette vil erstatte en 2013-plan for å gjenspeile regjeringens oppdaterte CNI-resiliensmål. Det er godt å vite at CISA har øynene opp for premien.