Federale overheid zet zich in om kritieke nationale veiligheid te versterken

De federale overheid zet zich in om cruciale nationale veiligheid te versterken

Door Danny Bradbury • 23 July 2024

De Colonial Pipeline-aanval in 2021 was een keerpunt voor kritieke infrastructuur in de VS. Toen een ransomware-aanval op het administratieve netwerk van een pijpleidingexploitant zich uitbreidde tot stijgende benzineprijzen aan de oostkust; je kunt maar beter geloven dat beleidsmakers toekeken. De race was begonnen om de kritieke nationale infrastructuur (CNI) te beschermen – de ruggengraat van diensten uit de particuliere en publieke sector die het land draaiende houden.

De regering ging over tot het versterken van de bescherming op federaal niveau, wat leidde tot een strategie die onder meer updates van de regelgeving, volledige activering van ongebruikte autoriteiten en vrijwillige mechanismen omvatte om het CNI tegen aanvallen te helpen beschermen. Het Department of Homeland Security (DHS) heeft bijvoorbeeld gepubliceerde richtlijnen om de veiligheid van pijpleidingen te vergroten. De wet op infrastructuurinvesteringen en banen van november 2021 zorgde voor aanzienlijke financiering voor CNI-projecten op lokaal niveau. De Wet op het melden van cyberincidenten voor kritieke infrastructuur van 2022 (CIRCIA)verplichte CNI-incidentrapportage.

In april 2024, bijna drie jaar na de koloniale aanval, gaf president Biden een vervolg aan dergelijke inspanningen met de Nota Nationale Veiligheid (NSM-22) over de beveiliging en veerkracht van kritieke infrastructuur, waarin de plannen van de regering om CNI te beschermen gedetailleerder worden uiteengezet. Dit document vervangt zijn voorganger, de presidentiële beleidsrichtlijn uit het Obama-tijdperk inzake de beveiliging en veerkracht van kritieke infrastructuur (PD-21). Het bevat echter nog steeds veel van de concepten van PPD-21, waaronder de aanwijzing van 16 kritieke nationale infrastructuursectoren, variërend van chemicaliën tot dammen en financiële diensten.

NSM-22 stelt minimale eisen op het gebied van veiligheid en veerkracht voor alle kritieke infrastructuursectoren. Het zet het Department of Homeland Security (DHS) volledig aan het stuur om leiding te geven aan de inspanningen van de regering om de CNI te beschermen, door het Cybersecurity & Infrastructure Security Agency (CISA) te benoemen tot de Nationale Coördinator voor Veiligheid en Veerkracht. Als onderdeel van deze strategie moet de minister van Binnenlandse Veiligheid een tweejaarlijks Nationaal Risicobeheerplan aan de president voorleggen.

De richtlijnen van juni vertegenwoordigen het plan van het DHS voor deze eerste tweejaarlijkse cyclus. Minister van Binnenlandse Veiligheid Alejandro N. Mayorkas schetste strategische richtlijnen en nationale prioriteiten voor de komende twee jaar voor inspanningen op het gebied van de beveiliging van kritieke infrastructuur en de veerkracht.

De nieuwe richtlijn richt zich op vijf belangrijke gebieden, waarvan er slechts enkele zijdelings worden genoemd in NSM-22:

Het aanpakken van cyberdreigingen en andere bedreigingen die uitgaan van de Volksrepubliek China

Beheer van risico's en kansen die worden geboden door kunstmatige intelligentie en andere opkomende technologieën

Identificeren en beperken van kwetsbaarheden in de toeleveringsketen

Klimaatrisico’s integreren in de inspanningen voor de veerkracht van de sector

Het aanpakken van de groeiende afhankelijkheid van kritieke infrastructuur van ruimtesystemen en -middelen

Deze gebieden sluiten aan bij de groeiende bezorgdheid over de bedreigingen voor het CNI binnen de federale overheid. In januari bijvoorbeeld FBI-directeur Christopher Wray getuigde van de House Select Committee voor de Chinese Communistische Partij dat China zichzelf positioneerde om ‘grote schade aan te richten’ op het Amerikaanse CNI.

De DHS-begeleiding hanteert een gezamenlijke aanpak. Het DHS schakelt de instanties in die verantwoordelijk zijn voor deze sectoren om te helpen bij het nemen van beschermende maatregelen in deze gebieden. Er zullen ook federale agentschappen, eigenaren en exploitanten van kritieke infrastructuur en andere belanghebbenden uit de overheid en de particuliere sector bij betrokken zijn.

Deze beschermende maatregelen gaan niet in op specifieke bedreigingen van technologie zoals AI. Integendeel, zij weerspiegelen die welke in NSM-22 zijn geschetst met het oog op het activeren van belanghebbenden. De eerste is het opbouwen van veerkracht door een infrastructuur te creëren die snel kan herstellen van aanvallen. Dit erkent dat het eenvoudigweg versterken van de infrastructuur om aanvallen te stoppen niet voldoende is; Operators moeten ervan uitgaan dat sommige aanvallen zullen slagen.

Veerkrachtmaatregelen omvatten uhet begrijpen van systeemafhankelijkheden en het anticiperen op mogelijke cascade-effecten van aanvallen. De richtsnoeren roepen ook op tot een sectoroverschrijdende analyse van systeemzwakheden, waarbij erop wordt gewezen dat er belangrijke hulpbronnen zijn waarvan veel sectoren afhankelijk zijn. Energie is daar een goed voorbeeld van, omdat het in de behoeften van alle andere sectoren voorziet. NSM-22 had de CISA al opdracht gegeven een lijst van systeemrelevante entiteiten op te stellen – dominostenen die, als ze omvallen, ook andere zouden kunnen laten instorten.

Er moet een agentschap van elke sector worden opgericht verplichte basisvereisten voor veerkracht, idealiter gebruikmakend van bestaande richtlijnen en standaarden van de overheid. Dit is iets dat het Center for Cybersecurity Policy and Law heeft benadrukt: “het erkent dat vrijwillige benaderingen van veiligheid en veerkracht niet succesvol genoeg zijn geweest, en dat verplichte minimumvereisten noodzakelijk zijn”, zegt Ari Schwartz, coördinator bij de CCPL.

Een belangrijke uitdaging hier zal het afdwingen van deze vereisten in de hele publieke sector zijn. De richtlijnen suggereren dat agentschappen een combinatie van bevoegdheden voor het verstrekken van subsidies en aanbestedingen gebruiken om ervoor te zorgen dat deze basismaatregelen blijven bestaan. Dit betekent ook dat we moeten samenwerken met dienstverleners (in de richtlijnen worden specifiek cloudaanbieders genoemd) om ervoor te zorgen dat hun diensten door hun ontwerp veilig zijn.

De reacties van ten minste enkele sectoren op de recente CNI-beschermingsmaatregelen waren voorzichtig optimistisch. Toen het Witte Huis bijvoorbeeld NSM-22 uitbracht, besloot de Association of State Drinking Water Administrators (ASDWA)gereageerd: “Hoewel het onduidelijk is hoe de nieuwe NSM een directe impact zal hebben op de voortdurende inspanningen om de veerkracht in de water- en afvalwatersector te vergroten, blijft ASDWA samenwerken met EPA en sectorpartners om staats- en federale activiteiten te ondersteunen om alle gevaren aan te pakken, inclusief de meest recente inspanningen om een Cybersecurity Task Force voor Water op te richten om de groeiende cyberdreigingen waarmee de sector wordt geconfronteerd, aan te pakken.”

De DHS-richtlijnen voegden niet veel toe aan het bestaande memorandum, afgezien van het verduidelijken van specifieke aandachtsgebieden die veel besproken zijn in verschillende uitvoeringsbesluiten en cyberbeveiligingsstrategieën. Het is echter niet het enige document dat CISA heeft gepubliceerd over de veerkracht van infrastructuur. In maart 2024 publiceerde het een Raamwerk voor veerkrachtplanning voor infrastructuur (IRPF) om belanghebbenden te helpen bij het plannen van een robuustere infrastructuur die beter bestand is tegen aanvallen. Onlangs bracht het een speelboek voor begeleiden dit kader. Dit soort werkzaamheden om de operationele veerkracht te vergroten zijn aan de gang en zullen uitmonden in een Nationaal Plan voor Infrastructuurbescherming uit 2025. Dit zal een plan uit 2013 vervangen dat de bijgewerkte CNI-veerkrachtdoelstellingen van de regering weerspiegelt. Het is goed om te weten dat CISA de prijs in de gaten houdt.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury