Mga Mabilisang Link ng Talaan ng Nilalaman ng Cybersecurity:
Ang Office of Drinking Water ay mahigpit na hinihikayat ang mga waterworks na tasahin ang kanilang mga kasanayan sa cybersecurity at ipatupad ang mga kontrol sa cybersecurity na naaangkop sa mga teknolohiyang ginagamit nila. Para sa isang waterworks na bago sa cybersecurity, ang simpleng pagpapatupad ng mga pangunahing kasanayan sa cybersecurity ay lubos na makakabawas sa kanilang pagkakalantad sa mga cyber-attack na maaaring magbanta sa kanilang water system, billing/financial software, o iba pang kritikal na system. Kabilang sa mga halimbawa ng mga pangunahing kasanayan sa cybersecurity ang paggamit ng antivirus at malware software, regular na pag-update ng software, pagtatakda ng mga malalakas na password, paggamit ng multi-factor na pagpapatotoo, regular na pag-back up ng data, pagsasagawa ng pagsasanay sa kamalayan sa cybersecurity, at pag-secure ng mga wireless network. Para matiyak ang pagpapatupad ng mga kasanayan sa cybersecurity, dapat magtalaga ang waterworks ng cybersecurity lead para sa organisasyon.
Pagtugon sa isang Cybersecurity Incident
Kung ang isang waterworks ay nakakaranas ng isang insidente sa cybersecurity, inirerekomenda ng ODW na gawin ng waterworks ang mga sumusunod:
- Ipaalam sa Virginia Fusion Center, Cyber Intelligence Team ang insidente sa pamamagitan ng kanilang Cyber Incident Form. Ang Code of Virginia ay nangangailangan ng mga pampublikong katawan na mag-ulat ng mga insidente sa cyber sa Virginia Fusion Center.
- Makipag-ugnayan sa panrehiyong ODW field office para ipaalam sa kanila ang insidente. Available ang impormasyon sa pakikipag-ugnayan dito.
- Ipaalam sa Cybersecurity and Infrastructure Security Agency (CISA) ang insidente sa pamamagitan ng kanilang Incident Reporting System.
Maaaring naisin ng Waterworks na gamitin ang EPA Cyber Insidente Reporting Factsheet upang tulungan ang kanilang mga pagsisikap na mag-ulat ng mga insidente sa cyber sa pederal na pamahalaan.
Pagtatasa ng Cybersecurity
Dapat na regular na tasahin ng Waterworks ang kanilang kasalukuyang mga hakbang sa cybersecurity upang matukoy kung saan kailangan ng mga karagdagang kontrol upang matugunan ang mga kahinaan. Dapat ding magsagawa ng pagtatasa sa cybersecurity kapag nagpapatupad ng mga bagong Supervisory Control and Data Acquisition (SCADA) system, billing/financial software, o iba pang teknolohiya na napapailalim sa cyber-attacks at kritikal sa waterworks.
Para sa mga waterwork na nagnanais na magsagawa ng cybersecurity self-assessment, ang American Water Works Association (AWWA) ay bumuo ng Assessment Tool upang suriin kung paano ginagamit ng mga utility ang iba't ibang teknolohiya at bumuo ng customized, prioritized na listahan ng mga kontrol na pinaka naaangkop sa mga application ng teknolohiya ng mga utility. Bumuo din ang AWWA ng Small Systems Guidance para tulungan ang maliliit na rural utility na mapabuti ang kanilang mga kasanayan sa cybersecurity. Higit pang impormasyon sa AWWA cybersecurity resources ay matatagpuan sa https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance
Para sa waterworks na humihingi ng tulong upang magsagawa ng cybersecurity assessment, nag-aalok ang US Environmental Protection Agency (EPA) ng mga libreng cybersecurity assessment sa waterworks sa pamamagitan ng Water Sector Cybersecurity Evaluation Program nito. Ang program na ito ay magsasagawa ng pagtatasa ng cybersecurity gamit ang checklist ng EPA sa kanilang gabay sa Pagsusuri sa Cybersecurity sa PWS Sanitary Surveys, at bubuo ng plano sa pagpapagaan ng panganib na tumutukoy sa mga inirerekomendang kontrol sa cybersecurity. Upang makuha ang tulong na ito mula sa EPA, kumpletuhin ang form ng kahilingan ng Programa sa Pagsusuri ng Cybersecurity ng Sektor ng Tubig ng EPA dito.
Iba pang Mga Mapagkukunan
- USEPA Water Cybersecurity Assessment Tool at Risk Mitigation Plan – Itong 33-question form ay idinisenyo upang kumpletuhin ng katamtamang computer savvy na mga indibidwal na walang background sa IT. Bilang karagdagan sa pagsisilbi bilang pagtatasa sa cybersecurity na nagta-target ng mga item na itinuturing ng EPA bilang priyoridad, tinutulungan din ng tool na ito ang pagbuo ng mga plano sa pagpapagaan ng panganib upang matugunan ang mga puwang na tinukoy ng pagtatasa.
- CIS RAM v2.1 para sa CIS Critical Security Controls v8 at NIST Cybersecurity Framework v1.1 ay mga karagdagang tool sa pagtatasa na ginagamit ng industriya ng cybersecurity na may mga application na lampas sa mga sistema ng inuming tubig. Ang mga tool na ito ay nangangailangan ng mas mataas na antas ng kadalubhasaan sa teknolohiya ng impormasyon kaysa sa AWWA Assessment Tool o sa USEPA Water Cybersecurity Assessment Tool at Risk Mitigation Plan.
- EPA - EPA Cybersecurity para sa Sektor ng Tubig | US EPA
- AWWA Cybersecurity & Guidance | American Water Works Association (awwa.org)
- CISA Home Page | CISA - Mga Alerto at Advisory sa Cybersecurity ng CISA
- Mga Tool sa WaterISAC | TubigISAC
- NIST Cybersecurity | NIST
- Idaho National Laboratory Critical Infrastructure Protection - Idaho National Laboratory (inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
Pagpapatupad ng Mga Kontrol sa Cybersecurity
Grant Funding for State, Local, and Territorial Governments: Ang Department of Homeland Security (DHS), sa pamamagitan ng State and Local Cybersecurity Grant Program (SLCGP), ay nagbibigay ng pagpopondo para sa estado, lokal, tribo at teritoryal na pamahalaan upang tugunan ang mga panganib at banta sa cybersecurity sa mga sistema ng impormasyon na pagmamay-ari o pinapatakbo ng mga entity na iyon. Ang grant na ito ay pinangangasiwaan sa Virginia ng Virginia IT Agency (VITA), ng Virginia Department of Emergency Management (VDEM), at ng Virginia Cybersecurity Planning Committee (VCPC). Para sa karagdagang impormasyon tungkol sa grant na ito, bisitahin ang https://www.vita.virginia.gov/security/cybersecurity-grants/
Karagdagang Mga Mapagkukunan ng Cybersecurity
EPA Incident Action Checklist - Ang EPA ay nagbibigay ng checklist ng mga aksyon upang maghanda para sa isang cyber incident, upang tumugon sa isang cyber incident, at para makabawi mula sa isang cyber incident.
Gabay sa Pakikipag-ugnayan sa Sektor ng Tubig at Wastewater ng Virginia Fusion Center - Gabay at mapagkukunan ng Cybersecurity para sa sektor ng tubig at wastewater
Mga Resulta ng Survey sa Cybersecurity at Pamamahala ng Emergency
Nagpadala ang Office of Drinking Water ng survey sa cybersecurity at emergency management sa lahat ng waterworks. Sa paglipas ng 660 mga waterworks ang tumugon. Ang mga pangunahing resulta ng survey ay matatagpuan dito.