Projekt nazwany „prawem ochrony infrastruktury energetycznej” (Securing Energy Infrastructure Act) przedstawia – jak nazywają go pomysłodawcy – „podejście retro” do kwestii ochrony infrastruktury krytycznej. Chodzi o zastąpienie wadliwych systemów IT systemami zarządzanymi przez ludzi i niepodłączonymi do zewnętrznej sieci.
W wypowiedzi cytowanej przez portal C4ISRNET senator Angus King wyjaśniał, że USA – jako jedno z najbardziej zaawansowanych technologicznie krajów na świecie – jest zarazem jednym z państw najbardziej podatnych na cyberataki. Według twórców ustawy to właśnie w rozwiązaniach z przeszłości tkwi klucz do lepszego zabezpieczenia przyszłości. Nowe prawo ma doprowadzić do oddzielenia najbardziej wrażliwych systemów infrastruktury krytycznej od sieci. Pomoże to uchronić je przed potencjalnym atakiem pozbawiającym miliony ludzi elektryczności.
Senatorowie przytaczają tu przykład grudniowych ataków na ukraińskie elektrownie, w wyniku którego setki tysięcy osób zostało odciętych od energii.
Główne cele nowego prawa to m.in. przygotowanie dwuletniego programu pilotowego o wartości 10 milionów dol. Dzięki tej kwocie naukowcy będą w stanie zbadać podatności w systemach elektrowni i testować analogową technologię, która będzie mogła zastępować najważniejsze procesy obsługiwane dziś automatycznie. Kolejnym krokiem miałoby być przygotowanie narodowej strategii pokazującej proces izolowania sieci energetycznej od ataków. Strategię przygotowywaliby naukowcy wspólnie z ekspertami z agencji rządowych oraz firm zarządzających infrastrukturą krytyczną. Raport trafiłby do kongresu, gdzie zapadłaby decyzja o jego ewentualnym wdrożeniu.
Pomysłodawcy przekonywali, że przyszłość działań wojennych przesuwa się z klasycznego pola walki do ataków na sieci wykorzystywanych na co dzień przez obywateli. Ochrona amerykanów przed cyberprzestępcami wymaga złożonego podejścia do problemu. Ochrona sieci energetycznej to kluczowe zadanie.
Nie wszyscy eksperci podzielają jednak punkt widzenia senatorów. C4ISRNET cytuje wypowiedź Faizela Lakhaniego, prezesa firmy SS8 zajmującej się cyberbezpieczeństwem. Porównuje on pomysł ustawodawców do propozycji, by wycofać się z używania smartfonów na rzecz telegrafu. Systemy SCADA, które obsługują sieci infrastruktury krytycznej, zostały zaprojektowane tak, by automatycznie wyłączyć dopływ mocy w wypadku przeciążenia. Bez połączenia z siecią odłączenie urządzeń trwałoby znacznie dłużej, wymagało obsługi wielu osób, co zwiększa ryzyko błędu i usterki. Lepszym rozwiązaniem wydaje się wykorzystanie sieci do monitorowania systemów i komunikowania w wypadku, gdyby coś było z nimi nie w porządku.
Czytaj też: Kto będzie odpowiadał za cyberobronę infrastruktury krytycznej USA?