Нью-Йорк опубликовал ряд правил кибербезопасности, по которым в скором будущем предстоит функционировать системам водоснабжения и водоотведения по всему штату.
Губернатор Кэти Хокул объявила об этих предложениях в публичном пресс-релизе от 22 июля. Список содержит отдельные требования к безопасности операционных технологий (ОТ) для компаний, находящихся в ведении Департамента здравоохранения (DOH) и Департамента охраны окружающей среды (DEC) штата Нью-Йорк.
Предложенные правила теперь открыты для общественного обсуждения и направлены на повышение киберустойчивости критически важных систем водоснабжения в условиях участившихся атак на этот сектор. Они разработаны в соответствии с рекомендациями федеральных агентств, включая Агентство по охране окружающей среды США и Агентство по кибербезопасности и безопасности инфраструктуры.
Требования DOH применяются к коммунальным системам водоснабжения, обслуживающим более 3300 человек, с некоторыми особыми положениями для систем, обслуживающих 50 тыс. человек. Определяются базовые принципы программы кибербезопасности: соответствие нормативной отчётности, аутентификация и управление доступом, инвентаризация киберактивов и отслеживание сетевой активности. Также необходимо составлять план реагирования на инциденты, сообщать о них в DOH в течение 24 часов и проходить не менее одного часа обучения ИБ каждые три года.
Положения DEC применяются к объектам водоотведения по всему штату. Они содержат ряд базовых мер контроля ИБ, включая процедуры контроля доступа и аутентификации в соответствии с принципом наименьших привилегий. Другие меры связаны с безопасностью паролей, многофакторной аутентификацией и внедрением процесса управления уязвимостями. Сантехнические сооружения также должны будут обеспечить разделение ОТ-и ИТ-систем. Планы реагирования на инциденты включают устный доклад о происшествиях региональному инженеру по водоснабжению в течение 24 часов и предоставление письменного отчёта в течение 30 дней.
Правила Департамента коммунальных услуг (DPS) распространяются на все коммунальные и кабельные телекомпании, обслуживающие 50 тыс. и более клиентов. Эти организации обязаны разработать политику ИБ, содержащую такие меры, как маскировка данных, MFA и контроль доступа. Она также должна подразумевать план реагирования и восстановления после кибератак. Кроме того, эти организации обязаны иметь в штате директора по ИБ, который ежегодно представляет руководству компании отчёты о состоянии мер по обеспечению кибербезопасности.
Усам Оздемиров
