قانون SOCI 2024: بینش در مورد زیرساخت های حیاتی

بر اساس یک گزارش جدید، افزایش حوادث باج افزار و در آغوش گرفتن هوش مصنوعی خطرات بالقوه داده ای است که سازمان های زیرساختی حیاتی استرالیا با آن مواجه هستند. این خبر در حالی منتشر می شود که قوانین جدید امنیت سایبری تحت قانون امنیت زیرساخت های حیاتی 2018 در آگوست 2024 لازم الاجرا شده است.

را نسخه بحرانی زیرساخت گزارش تهدید داده 2024توسط سازمان فناوری تالس، متوجه شد که حوادث باج‌افزار در سازمان‌های زیرساختی حیاتی در سطح جهانی در حال افزایش است – حتی زمانی که این سازمان‌ها برنامه‌ها و خطرات داده‌ای هوش مصنوعی را بررسی می‌کنند.

در گفتگو با TechRepublic، اریک ریس، مدیر امنیت داده ANZ Thales گفت که مهاجمان باج‌افزار به احتمال زیاد سازمان‌های زیرساختی حیاتی را هدف قرار می‌دهند که داده‌های حیاتی را در اختیار دارند. او توصیه می کند که یک رویکرد چند لایه به امنیت داشته باشید و آن را به بخشی اساسی از توسعه فناوری تبدیل کنید.

سازمان‌های زیرساختی حیاتی که باج‌گیر و هوش مصنوعی هستند

گزارش تالس نشان داد که 42 درصد از سازمان‌های زیرساختی حیاتی در تمام بازارهای جهانی مورد بررسی در مقطعی در گذشته نقض شده‌اند – 7 درصد کمتر از همه صنایع. در طول 12 ماه گذشته، تنها 15 درصد نقض شده است که در مقایسه با 22 درصد زمانی که نظرسنجی در سال 2021 انجام شد، کاهش یافته است.

باج افزار در حال افزایش است، اما آماده سازی ضعیف است

بیست و چهار درصد از سازمان‌های زیرساخت‌های حیاتی جهانی گزارش دادند که در گذشته حمله باج‌افزاری را تجربه کرده‌اند – 4 درصد نسبت به سال 2022 افزایش یافته است. در سطح جهانی، تنها 15 درصد از سازمان‌های مورد بررسی طرح پاسخ رسمی برای حمله باج‌افزار داشتند که 5 درصد کمتر از در تمام صنایع

ببینید: چگونه بهبود مبانی امنیت سایبری صنعتی می تواند در APAC کمک کند

نقض داده ها: اغلب ناشی از خطای انسانی است

خطای انسانی منجر به 34 درصد از نقض داده های مبتنی بر ابر در زیرساخت های حیاتی شده است که 4 درصد بیشتر از میانگین همه صنایع است. عدم استفاده از احراز هویت چند عاملی برای حساب‌های دارای امتیاز نیز یک مشکل مهم بود که باعث 20٪ موارد نقض شد که 6٪ بیشتر از مجموع سایر صنایع است.

پذیرش هوش مصنوعی با وجود نگرانی های مربوط به خطر اتفاق می افتد

بیست و شش درصد از سازمان‌های زیرساخت حیاتی قصد دارند در سال آینده هوش مصنوعی را در محصولات اصلی خود ادغام کنند. تالس گفت که پذیرش هوش مصنوعی علیرغم اینکه زیرساخت های حیاتی بیشترین نگرانی (69 درصد) را در مورد مدیریت ریسک های زیست محیطی و عملیاتی سریع فناوری نوظهور دارند، اتفاق می افتد.

باج افزار به یک مسئله جهانی تبدیل شده است

ریس گفت که سازمان‌های زیرساخت‌های حیاتی استرالیا که در گزارش تهدید داده‌های 2024 مورد بررسی قرار گرفتند، همراه با سایرین در بازار، بازخورد مشابهی را به همتایان جهانی خود گزارش کردند. این مورد به ویژه در مورد تهدید باج افزارها بیشتر بود.

او گفت که ارزش داده های نگهداری شده توسط این سازمان ها محرک اصلی مجرمان سایبری بود.

او توضیح داد: «برای سازمان‌های زیرساختی حیاتی در استرالیا، زمانی که با داده‌های بسیار حیاتی نیز سروکار دارید، در آن زمان است که هدف اصلی مجرمان سایبری قرار می‌گیرید».

چه چیزی “بیشتر مردم را در شب بیدار نگه می دارد”

آغوش هوش مصنوعی نیز در میان سازمان‌های زیرساختی حیاتی در استرالیا رخ می‌دهد.

ریس گفت که اکثر سازمان‌های زیرساختی حیاتی – از ارائه‌دهندگان مخابرات گرفته تا آنهایی که در بخش حمل‌ونقل و لجستیک هستند – در سال‌های اخیر روی فناوری‌های هوش مصنوعی سرمایه‌گذاری کرده‌اند. او گفت که آنها به دنبال کارآمدتر کردن عملیات خود، صرفه جویی در هزینه و نوآوری بودند.

فشار برای نوآوری، سازمان ها را به سمت پذیرش سریع هوش مصنوعی سوق می دهد. ریس گفت: «آماده بودن یا نبودن تیم‌های امنیت سایبری برای مواجهه با آنچه در راه است، چیزی است که بیشتر مردم را شب‌ها بیدار نگه می‌دارد.»

قانون SOCI می تواند به ایمن سازی زیرساخت های حیاتی استرالیا کمک کند

مقررات پیشرفته می تواند سازمان های زیرساخت های حیاتی استرالیا را به سمت ایمن تر شدن سوق دهد.

استرالیا قانون جدید SOCI را در سال 2018 معرفی کرد

را قانون امنیت زیرساخت های حیاتی 2018که بر ریسک های زیرساخت های حیاتی در استرالیا حاکم است، در سال 2020 اصلاح شد تا تعریف زیرساخت های حیاتی را به طیف وسیع تری از صنایع، از جمله خدمات مالی، بهداشت، آموزش عالی، و ذخیره سازی و پردازش داده ها گسترش دهد.

امنیت سایبری کانون توجه سازمان ها تحت قانون SOCI است. قوانین جدید در آگوست 2024 معرفی شدند به نهادهای زیرساخت حیاتی نیاز دارد که چارچوب امنیت سایبری را برای سطح بلوغ خود ایجاد و حفظ کنند تا از داده‌ها به عنوان بخشی از یک برنامه مدیریت ریسک گسترده‌تر محافظت کنند.

ببینید: آیا متخصصان امنیت سایبری استرالیا باید نگران حملات تحت حمایت دولت باشند؟

بالا بردن نوار انطباق، نقض را دشوارتر می کند

گزارش تالس همبستگی قوی بین دستاوردهای انطباق و کاهش نقض را نشان داد: در میان آن دسته از پاسخ دهندگان زیرساخت حیاتی که گفتند در ممیزی انطباق در 12 ماه گذشته شکست خورده اند، 84 درصد گزارش کردند که برخی از موارد نقض را در سابقه خود تجربه کرده اند.

در مقابل، در میان سازمان‌های زیرساخت حیاتی که در ممیزی انطباق شکست نخورده‌اند، تنها 17 درصد سابقه نقض دارند و تنها 2 درصد در 12 ماه گذشته نقض شده‌اند.

بهبودهای بیشتر در امنیت می تواند اجرا شود

قانون SOCI می تواند به معنای نتایج امنیتی مثبت تر برای زیرساخت های حیاتی باشد. ریس گفت که برخی از صنایع کمتر متکی به فناوری مانند خدمات مالی، راه را برای حفاظت از داده ها پیشروی می کنند، در حالی که صنایع سنتی تر با فناوری عملیاتی همچنان در حال پیشرفت هستند.

او افزود که OT در حال تبدیل شدن به هدفی برای مجرمان سایبری است زیرا فناوری عملیاتی بیشتر با فناوری اطلاعات ادغام می شود. در حالی که سازمان‌های زیرساخت حیاتی سنتی در مسیر امنیت بهتر از طریق دانش و آگاهی بیشتر هستند، ریس هشدار داد که «ما هنوز آنجا نیستیم».

جایی که سازمان های استرالیایی باید تمرکز کنند

ریس گفت که سازمان های زیرساخت های حیاتی استرالیا باید بر امنیت داده ها تمرکز کنند.

آنها می دانند که این مهم است. آنها می دانند که چه کاری باید انجام دهند. آنها می دانند که مدل سازی سایبری خوب چگونه به نظر می رسد. اکنون بیشتر به این موضوع می پردازیم که چگونه آنها فعال می شوند و می پرسند که چگونه می توانند قدمی فراتر بردارند، جایی که، اگر اتفاقی افتاد، بدانند که دارایی های حیاتی خود را می توان محافظت کرد.

ادغام امنیت به عنوان بخشی از طراحی آینده

DevSecOps چارچوب ارزشمندی را برای سازمان‌ها ارائه می‌دهد که در هنگام پرداختن به جنبه‌های فناوری اطلاعات و فناوری اطلاعات زیرساخت‌های حیاتی، آن را در نظر بگیرند. ریس بر عدم دست کم گرفتن الزامات اقدامات امنیتی خوب در طول فرآیند تاکید کرد.

یک رویکرد چند لایه به امنیت CI

در حالی که امنیت در لبه از طریق مدیریت هویت مهم است، ریس گفت که سازمان‌های زیرساخت‌های حیاتی به طور فزاینده‌ای نیاز دارند تا در مورد چگونگی محافظت از دارایی‌های حیاتی به طور چند بعدی فکر کنند. این با شناخت دارایی هایی که باید از آنها محافظت کنند، چرا باید از آنها محافظت کنند و سپس کنترل آن خطرات شروع می شود.

ریس اشاره کرد که خطرات ناشی از زنجیره تامین، و همچنین فناوری‌های نوظهور مانند هوش مصنوعی یا محاسبات کوانتومی – حوزه‌هایی که NIST اخیرا استانداردهای جدیدی را منتشر کرده است – همه عواملی هستند که ارائه‌دهندگان زیرساخت‌های حیاتی باید به عنوان بخشی از یک رویکرد چند لایه در نظر بگیرند.

تبدیل دانش به فعال بودن

گزارش تهدید داده 2024 به این نتیجه رسید که شرکت های زیرساخت حیاتی باید اقدامات پیشگیرانه ای را که می توانند کنترل کنند، انجام دهند. این ممکن است شامل اجرای پاسخ‌های رسمی باج‌افزار برای انطباق موفقیت‌آمیز با ممیزی باشد.

در این گزارش آمده است: «فناوری‌های جدید مانند 5G، ابر، IAM و GenAI نوید کارایی‌های جدیدی را هنگام برنامه‌ریزی در عملیات CI می‌دهند. “انتظارات بالاتر و افزایش تعهدات در مورد انعطاف پذیری عملیاتی و قابلیت اطمینان، شرکت ها را به موقعیتی با امنیت بیشتر و حساسیت کمتر سوق می دهد.”