Brief de plongée:
Insight de plongée:
Les nouvelles exigences de l'INSM combleraient une lacune dans la sécurité des services publics, selon des experts en sécurité, mais d'autres demeurent et le processus pour les corriger est long.
"La surveillance des réseaux internes était définitivement une lacune dans les normes du CIP, et je suis content qu'il soit rempli. Mais le vrai scandale est le nombre d'autres lacunes", a déclaré Tom Alrich, consultant en sécurité, pointant des ransomwares, du phishing etAttaques à terme connues sous le nom de menaces persistantes avancées.Souvent, les services publics s'adressent à ces menaces par eux-mêmes, a-t-il déclaré.
Bien que les exigences actuelles du CIP se concentrent sur la prévention d'une attaque, Miller a déclaré que la sécurité moderne met également l'accent sur l'identification des violations lorsque les contre-mesures ont échoué."La réglementation proposée répond à ce besoin", a-t-il déclaré.
L'inclusion des exigences INSM dans les normes CIP garantirait que les services publics maintiennent la visibilité sur les communications dans leurs réseaux et ne "pas simplement surveiller les communications au périmètre du réseau", selon la règle proposée.En cas d'attaque réussie, une surveillance interne améliorée "augmenterait la probabilité de détection précoce d'activités malveillantes et permettrait une atténuation et une récupération plus rapides d'une attaque".
Le manque actuel des exigences de l'INSM est important mais «pas critique», a déclaré Mark Carrigan, vice-président de la sécurité des processus et de la technologie des technologies opérationnels à Hexagon PPM, dans un e-mail.
"La mise en œuvre de la technologie de surveillance des réseaux est une étape importante vers un programme de sécurité global, mais ce n'est pas une" solution miracle "qui réduira considérablement le risque à l'infrastructure critique du pays", a-t-il déclaré.
Selon la portée requise pour la mise en œuvre, Carrigan a également déclaré que la nouvelle règle "pourrait être une initiative très coûteuse qui n'aurait pas une amélioration spectaculaire de la sécurité".Les systèmes de contrôle plus anciens opérant les infrastructures critiques ne peuvent souvent pas servir d'informations à une solution de surveillance du réseau, a-t-il dit, et si ces réseaux doivent être mis à niveau ", cela pourrait coûter des millions de dollars à une entreprise, et le montant de la réduction des risques peut ne pas valoir le coût."
Quant à l'application de la règle aux installations à faible impact, Miller a déclaré qu'il existe une technologie standard pour la surveillance de la détection OT.
Carrigan a déclaré que les nouvelles exigences ne devraient pas être ajoutées pour les installations à faible impact."Le problème avec l'exigence d'une certaine approche sur tous les actifs est que vous pouvez finir par dépenser beaucoup d'argent pour des programmes qui ne réduisent pas beaucoup de risques", a-t-il déclaré.
Alrich a averti que le processus d'élaboration des normes CIP est trop compliqué, et de nouvelles normes ne devraient pas être tenues de traiter de nouvelles menaces, "ou comme dans ce cas, une menace de longue date".
"Si nous avons de la chance, cette nouvelle norme pourrait être en vigueur dans trois ans, mais elle pourrait très bien prendre plus de temps que cela", a déclaré Alrich.
