מתקפת הצינור הקולוניאלי בשנת 2021 היוותה נקודת מפנה לתשתית קריטית בארה"ב כאשר התקפת תוכנת כופר ברשת הניהולית של מפעיל צנרת עברה גרורות לעלייה במחירי הבנזין ברחבי החוף המזרחי; מוטב שתאמין שקובעי המדיניות צפו. המירוץ היה להגנה על תשתיות לאומיות קריטיות (CNI) - עמוד השדרה של שירותי המגזר הפרטי והציבורי ששומרים על המדינה לפעול. 

הממשלה עברה לחזק את ההגנה ברמה הפדרלית, מה שהוביל לאסטרטגיה שכללה עדכונים רגולטוריים, הפעלה מלאה של רשויות שאינן בשימוש ומנגנונים וולונטריים שיסייעו בהקשחת CNI מפני התקפה. לדוגמה, המחלקה לביטחון המולדת (DHS) הנחיות שפורסמו כדי לחזק את אבטחת הצינור. חוק השקעות בתשתיות ותעסוקה של נובמבר 2021 הוציא מימון משמעותי לפרויקטים של CNI ברמה המקומית. ה דיווח תקריות סייבר לחוק תשתית קריטית משנת 2022 (CIRCIA)חובה לדווח על אירועי CNI. 

באפריל 2024, כמעט שלוש שנים לאחר המתקפה הקולוניאלית, הנשיא ביידן עקב אחר מאמצים כגון אלה עם מזכר ביטחון לאומי (NSM-22) בנושא אבטחה וחוסן תשתיות קריטיות, אשר קבעו את תוכניות הממשל להגנה על CNI ביתר פירוט. מסמך זה מחליף את קודמו, הנחיית המדיניות הנשיאותית מתקופת אובמה בנושא אבטחה וחוסן תשתיות קריטיות (PD-21). עם זאת, הוא עדיין שומר על רבים מהמושגים של PPD-21, כולל ייעודם של 16 מגזרי תשתית לאומיים קריטיים, החל מכימיקלים ועד סכרים ושירותים פיננסיים. 

NSM-22 מחייב דרישות אבטחה וחוסן מינימליות במגזרי תשתית קריטיים. הוא שם את המחלקה לביטחון המולדת (DHS) במושב המניע להוביל את המאמץ הממשלתי להגן על ה-CNI, וקורא לסוכנות האבטחה והתשתית שלה (CISA) לרכז הלאומי לביטחון וחוסן. כחלק מאסטרטגיה זו, על השר לביטחון פנים להגיש לנשיא תוכנית לאומית לניהול סיכונים דו-שנתית. 

ההדרכה של יוני מייצגת את התוכנית של DHS למחזור הדו-שנתי הראשון הזה. השר לביטחון המולדת, אלחנדרו נ. מאיורקס, הציג הנחיות אסטרטגיות וסדרי עדיפויות לאומיים לשנתיים הקרובות למאמצי אבטחה וחוסן של תשתיות קריטיות.  

ההנחיה החדשה מתמקדת בחמישה תחומים מרכזיים, שרק חלקם הוזכרו באופן משיק ב-NSM-22: 

  • התמודדות עם סייבר ואיומים אחרים שמציבה הרפובליקה העממית של סין 
  • ניהול סיכונים והזדמנויות שמציגים בינה מלאכותית וטכנולוגיות מתפתחות אחרות 
  • זיהוי והפחתה של פגיעות בשרשרת האספקה 
  • שילוב סיכוני אקלים במאמצי החוסן של המגזר 
  • טיפול בתלות הגוברת של תשתיות קריטיות במערכות חלל ונכסים 

אזורים אלה עולים בקנה אחד עם החששות הגוברים לגבי איומים על CNI בממשל הפדרלי. לדוגמה, בינואר, מנהל ה-FBI כריסטופר ריי העיד על הוועדה הנבחרת של בית הנבחרים למפלגה הקומוניסטית הסינית שסין מיצבה את עצמה כדי "לחולל הרס" על ה-CNI האמריקאי. 

ההנחיות של DHS נוקטות בגישה שיתופית. ה-DHS מגייס את הסוכנויות האחראיות למגזרים הללו כדי לעזור לנקוט באמצעי הגנה באזורים אלה. זה יכלול גם סוכנויות פדרליות, בעלי ומפעילי תשתיות קריטיות ובעלי עניין אחרים במגזר הממשלתי והפרטי. 

אמצעי ההגנה האלה לא מתעמקים באיומים ספציפיים מטכנולוגיה כמו AI. במקום זאת, הם משקפים את אלה המתוארים ב-NSM-22 במטרה להפעיל מחזיקי עניין. הראשון הוא בניית חוסן על ידי יצירת תשתית שיכולה להתאושש במהירות מהתקפות. זה מכיר בכך שפשוט הקשחת תשתית כדי לעצור התקפות אינה מספיקה; על המפעילים להניח שחלק מהתקפות יצליחו. 

אמצעי חוסן כוללים uהבנת תלות במערכת וצפיית השפעות מפל פוטנציאליות של התקפות. ההנחיה גם קוראת לניתוח חוצה מגזרים של חולשות מערכתיות, תוך ציון כי ישנם משאבים מרכזיים שבהם תלויים מגזרים רבים. אנרגיה היא דוגמה מצוינת, שכן היא משרתת את הצרכים של כל המגזרים האחרים. NSM-22 כבר הנחה את CISA ליצור רשימה של ישויות חשובות מבחינה מערכתית - דומינו שאם יופלו, עלולים גם להפיל אחרים. 

סוכנות של כל מגזר חייבת להקים דרישות חוסן בסיס חובה, באופן אידיאלי באמצעות הנחיות ותקנים ממשלתיים קיימים. זה משהו שהמרכז למדיניות ומשפט אבטחת סייבר הדגיש: "הוא כן מכיר בכך שגישות וולונטריות לאבטחה וחוסן לא הצליחו מספיק, ושיש צורך בדרישות מינימום מחייבות", אומר ארי שוורץ, רכז ב-CCPL. 

אתגר מרכזי כאן יהיה אכיפת הדרישות הללו במגזר הציבורי. ההנחיה מציעה שסוכנויות ישתמשו בתערובת של סמכויות קבלת מענקים ורכש כדי לגרום לאמצעי הבסיס הללו להיצמד. משמעות הדבר היא גם עבודה עם ספקי שירותים (בהנחיה קוראים ספציפית לספקי ענן) כדי להבטיח שהשירותים שלהם מאובטחים בתכנון. 

התגובות של לפחות חלק מהסקטורים לאמצעי הגנת CNI האחרונים היו אופטימיות בזהירות. לדוגמה, כאשר הבית הלבן פרסם את NSM-22, איגוד מנהלי מי השתייה של המדינה (ASDWA)הגיב: "למרות שלא ברור כיצד ה-NSM החדש ישפיע ישירות על המאמצים המתמשכים להגביר את החוסן במגזר המים והשפכים, ASDWA ממשיכה לתקשר עם EPA ושותפים במגזר כדי לתמוך בפעילויות המדינה והפדרליות כדי לטפל בכל הסכנות, כולל המאמצים האחרונים להקים כוח משימה אבטחת סייבר למים כדי להתמודד עם איומי הסייבר ההולכים וגדלים המאתגרים את המגזר." 

ההנחיה של DHS לא הוסיפה עסקה ענקית לתזכיר הקיים מלבד הבהרת תחומים מוקדים ספציפיים שנדונו רבות בצווים ביצועיים שונים ובאסטרטגיות אבטחת סייבר. עם זאת, זה לא המסמך היחיד ש-CISA פרסמה על חוסן תשתית. במרץ 2024 הוא פרסם א מסגרת תכנון חוסן תשתיות (IRPF) כדי לעזור לבעלי עניין לתכנן תשתית חזקה יותר, עמידה יותר בפני התקפות. לאחרונה הוא הוציא א ספר משחק ל ללוות את המסגרת הזו. עבודה כזו לחידוד החוסן התפעולי נמשכת ותסתיים בתוכנית לאומית להגנה על תשתיות לשנת 2025. זה יחליף תוכנית 2013 שתשקף את יעדי החוסן המעודכנים של הממשלה CNI. טוב לדעת ש-CISA שם עין על הפרס.