出典: Designer 491 via Alamy Stock Photo
緊急管理および対応 – 情報共有分析センター(EMR-ISAC)は、予算削減と連邦官僚機構の再編の中で打撃を受けた最新の組織です。
先週、重要インフラと緊急サービスの保護に焦点を当てているEMR-ISACは、6月1日をもって閉鎖すると発表しました。この情報共有グループは、メール通知で「米国消防庁(UFSA)はもはやそのサービスをサポートできない」と述べました。これには、緊急サービスセクター(ESS)部門や米国の機関に新たな脅威情報を共有することが含まれます。これには、連邦、州、地方政府の情報源および民間セクターパートナーからのESSに関連する情報が含まれます。
ウェブサイトはすでに5月30日までにオフラインになっていました。
EMR-ISACは、ハワイでの火災や地域の災害準備から、CISAの更新情報やセキュリティ勧告まで、物理的およびサイバーの脅威に対処することに焦点を当てていました。情報は、緊急管理、消防、EMS、危険物チーム、法執行機関、爆弾処理班、捜索救助を通じて複数のルートで共有されました。EMR-ISACは、緊急対応者を支援し、重要インフラを保護するために書かれた記事を含むInfoGramニュースレターを毎週発行していました。プライベートなブリーフィングでは、ESSに影響を与える「タイムリーで重要な国土安全保障情報」、例えば脅威情報、妥協の指標、およびESSを標的とする敵についての通信が配信されました。
関連:オーストラリア、新たなランサムウェア支払い開示ルールを開始
「主要な情報共有ハブ」
サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、EMR-ISACをESSのための重要インフラ保護と新たな脅威情報の配信のための「主要な情報共有ハブ」として言及しました。情報は米国国土安全保障省(DHS)の情報共有メカニズムを通じて公開されました。今後、ESSへの通信がどのようになるかは不明です。
「私たちの分析によれば、私たちが共有した情報は現在、消防および緊急サービス分野に焦点を当てたさまざまなオープンソースで利用可能です」とEMR-ISACはメール通知で書いています。
この短い声明はさらなる疑問を呼び起こすと、SophosのディレクターでフィールドCISOのChet Wisniewskiは言います。「このコミュニティが直面する課題に焦点を当てた脅威情報の情報源を私は知りません」とWisniewskiは言います。「EMR-ISACがこの情報がどこで利用可能かのリンクを公開してくれることを望みます。そうすれば、私たち全員が利益を得ることができます。」
EMR-ISACは代替可能か?
EMR-ISACのメンバーシップが公開されていないため、代替組織がどのようなものになるかを言うのは難しいです。しかし、ESSコミュニティにサービスを提供するために民間資金でEMR-ISACを再開することを妨げるものは何もないとWisniewskiは言います。
関連:「Earth Lamia」がアジア全域で既知のSQL、RCEバグを悪用
「最近見たCVEプロジェクトのように、公共資金はこれらのサービスを今後支えるための信頼できるメカニズムではないかもしれません。したがって、これらの情報共有グループをどのように資金調達するかの新しいモデルを見つける必要があるかもしれません」とWisniewskiは言います。DHSがMITREの脆弱性情報共有プログラムへの資金を削減する計画を発表した後、契約をさらに11か月延長したことを指摘しています。「彼らはMulti-state ISAC(MS-ISAC)と力を合わせることができるかもしれませんが、ESS/EMRコミュニティのニーズにそれほど適応していないでしょう。」
ISACの資金は保証されない
政府がISACに無期限に資金を提供するという誤解があると、Josh Corman氏は言います。彼は、Institute of Security and Technologyの公共安全とレジリエンスのエグゼクティブ・イン・レジデンスであり、I Am The CavalryとCyberMedSummitの共同創設者です。政府の資金は個々のISACを立ち上げるのに役立ちますが、継続的な資金は保証されていないとCorman氏は付け加えます。ISACを持つことは合法的でリアルタイムのインテリジェンスに重要ですが、必須ではありません。いくつかのセクターはISACを持っていませんが、それでも政府のパートナーから情報を受け取っています。
関連:FBI、フィリピンのテック企業による広範な暗号詐欺を警告
「彼ら[EMR-ISAC]は自分たちで資金を調達できるでしょう。おそらく、彼らに与えられた警告よりも多くの警告が必要だったでしょうが、彼らは代替手段を見つけることができるでしょう」とCorman氏は言います。「一般的に言って、私はできるだけ多くのISACを持ちたいと思っています。できるだけ資金が充実し、できるだけ効果的であることを望んでいます。」
しかし、EMR-ISACの閉鎖のタイミングは懸念されるとCorman氏は警告し、国家主体が米国の重要なITネットワークを標的にしていることを指摘しています。Corman氏は現在、UnDisruptable27プロジェクトを主導しており、重要インフラへの攻撃に備えてコミュニティを準備することを目指しています。
「中国軍はVolt Typhoonを持ち、米国の水道施設を永続的に標的にするキャンペーンを行っています」とCorman氏は警告します。「彼らは事前に配置しています。私たちが米国の土壌でのハイブリッド紛争の瀬戸際にいるときに、私たちのベンチを削減することは望ましくありません。緊急対応のためにできるだけ多くの手を必要としています。」
実際の使用例
EMR-ISACは新しい資金、公共または民間の下で再登場するかもしれませんが、その不在は緊急サービス業界の人々にとって課題を引き起こします。時間が限られているとき、ISACからの情報は読むべきメールの優先順位リストの上位にありましたと、ミネソタ州バーンズビルの公共事業ディレクターであるMark Ray氏は言います。
情報は、全国での攻撃の増加の中で大規模な集会イベントを保護する準備をする際に特に役立ちましたとRay氏は付け加えます。InfoGramは、特に役立つEMR-ISACの資料の一部でした。
「FEMAが後退することで、空白が生まれますが、それは残念です。しかし、私はCISAがこの重要なリソースを州、地方、領土の緊急サービスプロバイダーのために引き継ぎ、このことを続け、生かし続けることを期待して楽観的です」とRay氏は言います。
EMR-ISACのリソースは、従業員が複数の役割を担う小規模な機関に利益をもたらします。警察や消防署を超えて、地方や都市にある小規模な部門もそれに依存していました。この穴が埋められない場合、それは顕著なギャップとなるでしょうと、Ray氏は長期的な影響を最も懸念しています。
「私たちが直面する課題の一つは、決定の影響が必ずしも即時ではないことです」とRay氏は言います。「このISACがなくなった場合、それが1週間または1か月後に問題になるかどうかはわかりません。しかし、失われたネットワーク、通信、情報共有、その影響は何年も先に見られるかもしれません。」