جدول المحتويات جدول المحتويات روابط سريعة
يشجع مكتب مياه الشرب بقوة محطات المياه على تقييم ممارسات الأمن السيبراني لديها وتنفيذ ضوابط الأمن السيبراني المناسبة للتقنيات التي تستخدمها. بالنسبة لمحطات المياه الجديدة في مجال الأمن السيبراني، فإن مجرد تطبيق ممارسات الأمن السيبراني الأساسية يمكن أن يقلل إلى حد كبير من تعرضها للهجمات الإلكترونية التي قد تهدد نظام المياه أو الفواتير/البرامج المالية أو غيرها من الأنظمة الهامة. من أمثلة ممارسات الأمن السيبراني الأساسية استخدام برامج مكافحة الفيروسات والبرمجيات الخبيثة، وتحديث البرامج بانتظام، وتعيين كلمات مرور قوية، واستخدام المصادقة متعددة العوامل، والنسخ الاحتياطي للبيانات بانتظام، وإجراء تدريبات التوعية بالأمن السيبراني، وتأمين الشبكات اللاسلكية. لضمان تنفيذ ممارسات الأمن السيبراني، يجب على محطات المياه تعيين قائد للأمن السيبراني في المؤسسة.
الاستجابة لحادث أمن إلكتروني
إذا تعرضت إحدى محطات المياه لحادث أمن إلكتروني، توصي ODW بأن تقوم محطات المياه بما يلي:
- قم بإبلاغ مركز فيوجن فيرجينيا فيوجن، فريق الاستخبارات الإلكترونية بالحادث من خلال نموذج الحادث الإلكتروني الخاص بهم. يتطلب قانون فيرجينيا من الهيئات العامة الإبلاغ عن الحوادث الإلكترونية إلى مركز فيوجن فيرجينيا فيوجن.
- اتصل بالمكتب الميداني الإقليمي لمكتب ODW لإبلاغهم بالحادث. معلومات الاتصال متاحة هنا.
- قم بإبلاغ وكالة الأمن السيبراني وأمن البنية التحتية (CISA) بالحادث من خلال نظام الإبلاغ عن الحوادث.
قد ترغب محطات المياه في استخدام صحيفة وقائع الإبلاغ عن الحوادث السيبرانية الصادرة عن وكالة حماية البيئة لمساعدتها في جهودها للإبلاغ عن الحوادث السيبرانية للحكومة الفيدرالية.
تقييم الأمن السيبراني
يجب أن تقوم محطات المياه بتقييم تدابير الأمن السيبراني الحالية بشكل روتيني لتحديد المواضع التي تحتاج إلى ضوابط إضافية لمعالجة نقاط الضعف. يجب أيضًا إجراء تقييم للأمن السيبراني عند تنفيذ أنظمة جديدة للتحكم الإشرافي والحصول على البيانات (SCADA) أو برامج الفوترة/المالية أو غيرها من التقنيات التي تتعرض للهجمات الإلكترونية والتي تعتبر بالغة الأهمية لمحطات المياه.
بالنسبة لشبكات المياه التي ترغب في إجراء تقييم ذاتي للأمن السيبراني، طورت الجمعية الأمريكية لأشغال المياه (AWWA) أداة تقييم لتقييم كيفية استخدام المرافق للتقنيات المختلفة وإنشاء قائمة مخصصة ذات أولوية للضوابط الأكثر انطباقاً على تطبيقات التكنولوجيا الخاصة بالمرافق. كما طورت جمعية المياه والصرف الصحي في غرب ووسط آسيا (AWWA) أيضًا إرشادات للأنظمة الصغيرة لمساعدة المرافق الريفية الصغيرة على تحسين ممارسات الأمن السيبراني لديها. يمكن الاطلاع على مزيد من المعلومات حول موارد الأمن السيبراني في رابطة مياه وكهرباء غرب آسيا والمحيط الهادئ على https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance
بالنسبة لمحطات المياه التي تسعى للحصول على مساعدة لإجراء تقييم للأمن السيبراني، تقدم وكالة حماية البيئة الأمريكية (EPA) تقييمات مجانية للأمن السيبراني لمحطات المياه من خلال برنامج تقييم الأمن السيبراني لقطاع المياه. سيجري هذا البرنامج تقييماً للأمن السيبراني باستخدام قائمة مراجعة وكالة حماية البيئة في إرشاداتها بشأن تقييم الأمن السيبراني في المسوحات الصحية لمرافق المياه والصرف الصحي، ووضع خطة لتخفيف المخاطر تحدد ضوابط الأمن السيبراني الموصى بها. للحصول على هذه المساعدة من وكالة حماية البيئة، املأ نموذج طلب برنامج تقييم الأمن السيبراني لقطاع المياه التابع لوكالة حماية البيئة هنا.
موارد أخرى
- أداة تقييم الأمن السيبراني للمياه وخطة التخفيف من المخاطر التابعة لوكالة حماية البيئة الأمريكية - تم تصميم هذا النموذج 33- سؤال ليتم إكماله من قبل أفراد معتدلين في مجال الكمبيوتر دون خلفية في IT. وبالإضافة إلى كونها بمثابة تقييم للأمن السيبراني يستهدف العناصر التي تعتبرها وكالة حماية البيئة ذات أولوية، تساعد هذه الأداة أيضًا في وضع خطط لتخفيف المخاطر لمعالجة الثغرات التي حددها التقييم.
- لضوابط الأمن السيبراني الحرجة لـ CIS RAM v. لضوابط الأمن السيبراني الحرجة لـ CIS v2 1 8 وإطار عمل الأمن السيبراني لـ NIST Cybersecurity Framework1 v.1 هي أدوات تقييم إضافية تستخدمها صناعة الأمن السيبراني مع تطبيقات خارج أنظمة مياه الشرب. تتطلب هذه الأدوات درجة أكبر بكثير من الخبرة في مجال تكنولوجيا المعلومات من أداة تقييم AWWA أو أداة تقييم الأمن السيبراني للمياه وخطة تخفيف المخاطر الخاصة بالوكالة الأمريكية لحماية البيئة.
- وكالة حماية البيئة - وكالة حماية البيئة الأمريكية - الأمن السيبراني لقطاع المياه | وكالة حماية البيئة الأمريكية
- إرشادات الأمن السيبراني & إرشادات رابطة الأشغال المائية الأمريكية (awwa.org)
- الصفحة الرئيسية ل CISA | CISA - تنبيهات وإرشادات الأمن السيبراني الصادرة عن CISA
- أدواتWaterISAC | WaterISAC
- NIST Cybersecurity | NIST
- مختبر ايداهو الوطني لحماية البنية التحتية الحرجة - مختبر ايداهو الوطني (inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
تنفيذ ضوابط الأمن السيبراني
منح تمويل للحكومات الولائية والمحلية والإقليمية: توفر وزارة الأمن الداخلي (DHS)، من خلال برنامج المنح للأمن السيبراني على مستوى الولايات والمحليات (SLCGP)، تمويلاً للحكومات الولائية والمحلية والقبلية والإقليمية لمواجهة مخاطر الأمن السيبراني والتهديدات التي تتعرض لها أنظمة المعلومات التي تملكها أو تشغلها تلك الكيانات. تدير هذه المنحة في ولاية Virginia وكالة تكنولوجيا المعلومات في Virginia (VITA) وإدارة إدارة الطوارئ في Virginia (VDEM) ولجنة تخطيط الأمن السيبراني في Virginia (VCPC). لمزيد من المعلومات حول هذه المنحة، يرجى زيارة الموقع https://www.vita.virginia.gov/security/cybersecurity-grants/
موارد إضافية للأمن السيبراني
قائمة تدقيق الإجراءات المتعلقة بالحوادث الإلكترونية- توفر وكالة حماية البيئة قائمة مرجعية بالإجراءات اللازمة للتحضير لحادث إلكتروني، والاستجابة لحادث إلكتروني، والتعافي من حادث إلكتروني.
مركز فرجينيا فيوجن للمياه & دليل إشراك قطاع المياه والصرف الصحي - إرشادات وموارد الأمن السيبراني لقطاع المياه والصرف الصحي
نتائج استبيان الأمن السيبراني وإدارة الطوارئ
أرسل مكتب مياه الشرب دراسة استقصائية حول الأمن السيبراني وإدارة الطوارئ لجميع محطات المياه. استجابت أكثر من 660 من محطات المياه. يمكن العثور على نتائج الاستطلاع الرئيسية هنا.