米国政府は、重要インフラ部門との関わりにおいてどの機関がリーダーシップを取るかについて、従来の指定に厳密に従う必要がないと、サイバーセキュリティとインフラストラクチャセキュリティ庁の暫定局長は火曜日に述べた。
セクターリスク管理機関の指定は、16の重要インフラ部門それぞれの保護のための政府の取り組みの最前線に立つ機関を長年支配してきており、CISAはそのうち8つを担当しています。
「私たちのセクターリスク管理機関の構造を見ると、多くの理由で重要です。しかし、それに厳密に従い、『CISAは通信のセクターリスク管理機関である』と言うことはそれほど重要ではありません」とCISAのニック・アンダーソンはオーバーン大学のマクレーリー研究所が主催するイベントで述べた。
むしろ、サイバーインシデントに対応する際や民間部門との他のエンゲージメントを行う際には、特定のセクターとの最良の関係を持つ者は誰かという問題であるべきです。
「特定の重要インフラセクター内の所有・運営者の中には、彼らがリソースを受け取るのに最も適切な立場にある者が私たちである場合もあれば、エネルギー省である場合もあり、EPAである場合もあれば、FBIまたはNSAである場合もあります。以下同様です」と彼は述べた。「私たちは、『私が誰であろうとも、常に責任を持つ必要はありません。この所有・運営者が、そのエンゲージメントを主導するのに最適なパートナーを用意していることを確認する必要があります』と言って、これらの先入観を取り払うことに慣れる必要があります。」
目標は別の「グアム状況」を避けることです。「この数年間、皆がサッカーボールを追う子どもたちのようにグアムに殺到しました」とアンダーソンは述べた。グアムは、マイクロソフトが2023年に中国のハッキンググループVolt Typhoonに起因すると特定した、米国軍事基地への重要インフラ攻撃の場所でした。
別の「Typhoon」グループであるSalt Typhoonによる通信セクターへの攻撃は、CISAがそのセクターリスク管理機関の責任のすべてで手がいっぱいであるかどうかについて質問を促しました。下院国土安全保障委員会議長アンドリュー・ガルバリーノ下院議員(共和党、ニューヨーク州)は、Salt Typhoonキャンペーンが発見された後、通信セクターのセクターリスク管理機関役をCISAがどのように処理したかについて昨年懸念を表明しました。
翻訳元: https://cyberscoop.com/cisa-srma-critical-infrastructure-flexible-partnerships-nick-andersen/
