Mục lục An ninh mạng Liên kết nhanh:
Văn phòng Nước uống khuyến khích mạnh mẽ các nhà máy nước đánh giá các hoạt động an ninh mạng và triển khai các biện pháp kiểm soát an ninh mạng phù hợp với công nghệ mà họ sử dụng. Đối với một nhà máy nước mới làm quen với an ninh mạng, chỉ cần triển khai các biện pháp an ninh mạng cơ bản là có thể giảm đáng kể nguy cơ bị tấn công mạng có thể đe dọa hệ thống cấp nước, phần mềm thanh toán/tài chính hoặc các hệ thống quan trọng khác. Các ví dụ về các biện pháp an ninh mạng cơ bản bao gồm sử dụng phần mềm diệt vi-rút và phần mềm độc hại, cập nhật phần mềm thường xuyên, đặt mật khẩu mạnh, sử dụng xác thực đa yếu tố, sao lưu dữ liệu thường xuyên, tiến hành đào tạo nhận thức về an ninh mạng và bảo mật mạng không dây. Để đảm bảo thực hiện các biện pháp an ninh mạng, công ty cấp nước nên chỉ định một người đứng đầu về an ninh mạng cho tổ chức.
Phản ứng với sự cố an ninh mạng
Nếu một công trình nước gặp sự cố an ninh mạng, ODW khuyến nghị các công trình nước thực hiện như sau:
- Thông báo cho Trung tâm hợp nhất Virginia, Nhóm tình báo mạng về sự cố thông qua Biểu mẫu sự cố mạng. Bộ luật của Virginia yêu cầu các cơ quan công phải báo cáo các sự cố mạng cho Trung tâm Hợp nhất Virginia.
- Liên hệ với văn phòng khu vực của ODW để thông báo về sự cố. Thông tin liên lạc có sẵn tại đây.
- Thông báo cho Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) về sự cố thông qua Hệ thống báo cáo sự cố của họ.
Waterworks có thể muốn sử dụng Phiếu báo cáo sự cố mạng của EPA để hỗ trợ nỗ lực báo cáo sự cố mạng cho chính quyền liên bang.
Đánh giá an ninh mạng
Công ty cấp nước nên thường xuyên đánh giá các biện pháp an ninh mạng hiện có để xác định xem cần có biện pháp kiểm soát bổ sung nào để giải quyết các lỗ hổng. Đánh giá an ninh mạng cũng nên được thực hiện khi triển khai các hệ thống giám sát, điều khiển và thu thập dữ liệu (SCADA), phần mềm thanh toán/tài chính hoặc các công nghệ khác dễ bị tấn công mạng và quan trọng đối với hệ thống cấp nước.
Đối với các công ty cấp nước muốn tự đánh giá an ninh mạng, Hiệp hội Công ty Cấp nước Hoa Kỳ (AWWA) đã phát triển một Công cụ Đánh giá để đánh giá cách các công ty tiện ích đang sử dụng các công nghệ khác nhau và tạo ra danh sách các biện pháp kiểm soát được tùy chỉnh, ưu tiên, phù hợp nhất với các ứng dụng công nghệ của công ty. AWWA cũng đã phát triển Hướng dẫn hệ thống nhỏ để giúp các công ty tiện ích nông thôn nhỏ cải thiện hoạt động an ninh mạng của họ. Bạn có thể tìm thêm thông tin về các nguồn tài nguyên an ninh mạng của AWWA tại https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance
Đối với các công ty cấp nước đang tìm kiếm sự hỗ trợ để thực hiện đánh giá an ninh mạng, Cơ quan Bảo vệ Môi trường Hoa Kỳ (EPA) cung cấp dịch vụ đánh giá an ninh mạng miễn phí cho các công ty cấp nước thông qua Chương trình Đánh giá An ninh mạng cho Ngành Nước. Chương trình này sẽ tiến hành đánh giá an ninh mạng bằng cách sử dụng danh sách kiểm tra của EPA trong hướng dẫn Đánh giá an ninh mạng trong Khảo sát vệ sinh PWS và xây dựng kế hoạch giảm thiểu rủi ro, xác định các biện pháp kiểm soát an ninh mạng được khuyến nghị. Để nhận được sự hỗ trợ này từ EPA, hãy điền vào mẫu yêu cầu Chương trình đánh giá an ninh mạng ngành nước của EPA tại đây.
Tài nguyên khác
- Công cụ đánh giá an ninh mạng về nước và kế hoạch giảm thiểu rủi ro của USEPA – Biểu mẫu câu hỏi 33này được thiết kế để những cá nhân có hiểu biết tương đối về máy tính nhưng không có kiến thức nền về IT có thể hoàn thành. Ngoài việc đóng vai trò là công cụ đánh giá an ninh mạng nhắm vào các mục mà EPA coi là ưu tiên, công cụ này còn hỗ trợ phát triển các kế hoạch giảm thiểu rủi ro để giải quyết các lỗ hổng được xác định trong quá trình đánh giá.
- CIS RAM v2.1 dành cho CIS Critical Security Controls v8 và NIST Cybersecurity Framework v1.1 là các công cụ đánh giá bổ sung được ngành an ninh mạng sử dụng với các ứng dụng vượt ra ngoài hệ thống nước uống. Các công cụ này đòi hỏi trình độ chuyên môn cao hơn nhiều về công nghệ thông tin so với Công cụ đánh giá AWWA hoặc Công cụ đánh giá an ninh mạng về nước và Kế hoạch giảm thiểu rủi ro của USEPA.
- EPA - An ninh mạng của EPA cho ngành nước | EPA Hoa Kỳ
- An ninh mạng & Hướng dẫn của AWWA | Hiệp hội Công trình Nước Hoa Kỳ (awwa.org)
- Trang chủ CISA | CISA - Cảnh báo và tư vấn an ninh mạng của CISA
- Công cụ WaterISAC | WaterISAC
- An ninh mạng NIST | NIST
- Bảo vệ cơ sở hạ tầng quan trọng của Phòng thí nghiệm quốc gia Idaho - Phòng thí nghiệm quốc gia Idaho (inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
Triển khai các biện pháp kiểm soát an ninh mạng
Tài trợ cho chính quyền tiểu bang, địa phương và lãnh thổ: Bộ An ninh Nội địa (DHS), thông qua Chương trình tài trợ an ninh mạng tiểu bang và địa phương (SLCGP), cung cấp tài trợ cho chính quyền tiểu bang, địa phương, bộ lạc và lãnh thổ để giải quyết các rủi ro và mối đe dọa an ninh mạng đối với các hệ thống thông tin do các thực thể đó sở hữu hoặc vận hành. Khoản tài trợ này được quản lý tại Virginia bởi Virginia IT Agency (VITA), Sở Quản lý Khẩn cấp Virginia (VDEM) và Ủy ban Kế hoạch An ninh mạng Virginia (VCPC). Để biết thêm thông tin về khoản tài trợ này, hãy truy cập https://www.vita.virginia.gov/security/cybersecurity-grants/
Tài nguyên an ninh mạng bổ sung
Danh sách kiểm tra hành động sự cố của EPA - EPA cung cấp danh sách kiểm tra các hành động để chuẩn bị ứng phó với sự cố mạng, ứng phó với sự cố mạng và phục hồi sau sự cố mạng.
Hướng dẫn tham gia lĩnh vực nước và nước thải của Trung tâm hợp nhất Virginia - Hướng dẫn và tài nguyên an ninh mạng cho lĩnh vực nước và nước thải
Kết quả khảo sát an ninh mạng và quản lý khẩn cấp
Văn phòng Nước uống đã gửi một cuộc khảo sát về an ninh mạng và quản lý khẩn cấp đến tất cả các công trình nước. Hơn 660 Waterworks đã trả lời. Kết quả khảo sát chính có thể được tìm thấy ở đây.