O US Government Accountability Office (GAO), apontou que o DHS, CISA e NIST emitiram orientações, alertas, avisos e outros recursos em um esforço para ajudar entidades federais e privadas a gerenciar os riscos de segurança cibernética associados à internet das coisas (IoT) e tecnologia operacional (OT) sistemas.

Embora tenham sido tomadas medidas para proteger a infraestrutura crítica contra ataques cibernéticos, o GAO acredita que mais deve ser feito por certas agências.

O Departamento de Energia dos EUA tem iniciativas com foco em tecnologias de monitoramento de segurança cibernética OT. O Departamento de Saúde e Serviços Humanos fornece orientação de gerenciamento de segurança cibernética pré e pós-mercado para fabricantes de dispositivos médicos.

As iniciativas do DHS e do Departamento de Transporte incluem um kit de ferramentas de segurança cibernética para transporte de superfície e uma diretiva para melhorar a segurança cibernética ferroviária.

Essas agências têm um papel de liderança na proteção dos setores de infraestrutura crítica de energia, saúde e transporte contra ataques cibernéticos, e as iniciativas mencionadas mostram seu compromisso com o alcance de seus objetivos.

No entanto, o GAO está descontente com o fato de que nenhuma das três agências desenvolveu métricas para avaliar a eficácia dessas iniciativas. Além disso, eles não realizaram avaliações de risco de cibersegurança IoT e OT para o setor como um todo, o que os impede de saber quais outras proteções podem ser necessárias.

O GAO fez uma série de oito recomendações às quatro agências responsáveis ​​pelos setores de energia, saúde e transporte, com foco nas necessidades de estabelecer e usar métricas para avaliar a eficácia dos esforços de segurança cibernética IoT/OT e avaliar os riscos de segurança cibernética.