Das DHS veröffentlicht nach dem Kolonialangriff neue Cybersicherheitsrichtlinien für Pipelines

Die Transportation Security Administration des Department of Homeland Security neue Cybersicherheitsrichtlinien veröffentlicht für Pipeline-Eigentümer und -Betreiber im Anschluss an die Ransomware-Angriff auf die Colonial Pipeline Das führte dazu, dass Tausende von Menschen in den USA etwa eine Woche lang nach Benzin suchten.

Colonial sah sich in den letzten Wochen wegen seiner Reaktion auf den Angriff und wegen seines Eingeständnisses mit Gegenreaktionen konfrontiert zahlte den Angreifern fast 5 Millionen Dollar nach Tools zur Wiederherstellung ihrer Systeme. Die im Gegenzug erhaltenen Werkzeuge halfen nicht, und die Bundesregierung musste eingreifen, um dem Unternehmen zu helfen, wieder online zu gehen, als die Benzinpreise an der Ostküste in die Höhe schossen.

Die neue DHS-Richtlinie, die war erstmals berichtet von der Washington Post Zwingt Pipeline-Eigentümer Anfang dieser Woche dazu, alle Cybersicherheitsvorfälle dem Cybersecurity and zu melden Infrastruktursicherheitsbehörde und verlangt, dass alle Pipelines über einen Cybersicherheitskoordinator verfügen, der auf Abruf bereitsteht 24/7.

Alle Pipeline-Betreiber müssen CISA und TSA außerdem innerhalb von 30 Tagen einen Bericht über „ihre aktuellen Praktiken“ senden und etwaige Lücken identifizieren und damit verbundene Sanierungsmaßnahmen.“ Zusätzlich zu den neuen Maßnahmen erwägt die TSA weitere verbindliche Maßnahmen für Pipelines und in einer Erklärung: Das DHS sagte, die Sicherheitsrichtlinie würde es ihnen ermöglichen, Bedrohungen, die gegen das Land gerichtet sind, „besser zu erkennen, sich vor ihnen zu schützen und auf sie zu reagieren“. Pipelines.

Heimatschutzminister Alejandro Mayorkas sagte, das Ministerium habe keine andere Wahl, als sich an die „neuen und aufkommenden Bedrohungen“ anzupassen, die sich weiter entwickeln.

„Der jüngste Ransomware-Angriff auf eine große Erdölpipeline zeigt, dass die Cybersicherheit von Pipelinesystemen für unsere innere Sicherheit von entscheidender Bedeutung ist“, sagte Mayorkas. „Das DHS wird weiterhin eng mit unseren Partnern aus dem Privatsektor zusammenarbeiten, um deren Betrieb zu unterstützen und die Widerstandsfähigkeit der kritischen Infrastruktur unseres Landes zu erhöhen.“

Die Washington Post stellte fest, dass der Angriff auf Colonial dazu führte, dass die Pipeline für 11 Tage stillgelegt wurde und Bundesbeamte zurückgelassen wurden Angesichts der verheerenden Auswirkungen auf die Luftfahrt-, Transit- und Chemieindustrie, wenn der Shutdown längere Zeit andauerte, war er fassungslos länger.

Die ersten Cybersicherheitsrichtlinien für Pipelines wurden 2010 herausgegeben und 2018 von der TSA aktualisiert Angesichts der Entwicklung von Cyberangriffen wurden sie wegen ihres freiwilligen und lustlosen Verhaltens mit Gegenreaktionen konfrontiert Fähigkeiten.

Laut DHS-Beamten, die mit der Washington Post sprachen, drohen den Pipelines finanzielle Strafen, wenn gegen eine der neuen Vorschriften verstoßen wird.

Die USA haben derzeit mehr als 3.000 Pipelineunternehmen verwalten fast drei Millionen Meilen der Pipeline im Land. Die Regierung wurde im Kongress und von Pipeline-Betreibern dafür kritisiert, dass sie über ein TSA-Büro mit Personal verfügt Nur sechs Leute beobachten die Cybersicherheit aller Öl- und Gaspipelines.

Es gab auch eine erhebliche Debatte darüber, welche Regierungsbehörde besser geeignet wäre, die Cybersicherheit des Landes zu schützen Pipelines, wobei einige im Energie- und Handelsausschuss des Repräsentantenhauses argumentieren, dass das Energieministerium auf diesem Gebiet mehr Erfahrung hat als TSA.

Cybersicherheitsexperten äußerten gemischte Reaktionen auf die neuen Vorschriften. Einige sagten, sie hätten nicht genug getan, um Pipeline-Betreiber zu zwingen, die Cybersicherheit ernst zu nehmen, während andere befürchteten, dass den Opfern die Last aufgebürdet würde, sich selbst zu schützen.

Jim Gogolinski, Vizepräsident bei iboss, sagte, die Richtlinie werde wahrscheinlich nach dem Vorbild der bestehenden Richtlinie gestaltet NERC CIP-Standards die darauf ausgelegt sind, Angriffe auf kritische elektrische Infrastrukturen zu verhindern und abzuschwächen.

„Berichterstattung ist dabei natürlich ein wichtiger Teil, aber auch Sicherheitsprotokolle, Systemmanagement und Personalschulung.“ „Die NERC-CIP-Standards werden genau befolgt, da die Geldstrafen bei Nichteinhaltung bis zu 1 Million US-Dollar pro Tag und Verstoß betragen können“, sagte Gogolinski. „Wenn die neue Pipeline-Richtlinie ähnliche Bußgelder vorsieht, würden wir erwarten, dass die Industrie rasche Anstrengungen unternehmen wird, die Vorschriften einzuhalten.“

Edgard Capdevielle, CEO von Nozomi Networks, sagte, sein Unternehmen arbeite mit Öl- und Gasunternehmen auf der ganzen Welt zusammen und wies darauf hin Wie die meisten kritischen Infrastruktursektoren in den USA gab es in der Öl- und Gasindustrie bis dahin keine verbindlichen Cyberstandards Jetzt.

Die obligatorische Meldepflicht für Verstöße würde eine stärkere Zusammenarbeit zwischen Pipeline-Betreibern, Sicherheitsanbietern und dem ermöglichen Capdevielle sagte, dass ein offener Ansatz beim Informationsaustausch eine große Rolle beim Aufbau eines ausgereifteren Cyber-Netzwerks spielen werde Verteidigung

„Die verteilte Natur des Öl- und Gassektors macht dies zu einer zusätzlichen Herausforderung. Es erfordert viele verschiedene Formen der Konnektivität und kann schwieriger zu sichern sein. „Diese Umgebungen sind verteilt und physisch abgelegen“, sagte Capdevielle.

„Keine zwei Betreiber sind in Bezug auf die genauen Prozesse und Systeme, die sie verwenden, gleich, was es schwieriger macht, einheitliche Cybersicherheitsanforderungen festzulegen, die für alle effektiv funktionieren.“ Es gibt zwar Raum für regulierte Sicherheitsanforderungen, wir müssen jedoch darauf achten, nicht die gesamte Last den Opfern aufzubürden. Steuerliche Anreize und staatlich finanzierte Kompetenzzentren werden dazu beitragen, dass Betreiber kritischer Infrastrukturen im Laufe der Zeit wirksame Cybersicherheitsprogramme aufbauen und aufrechterhalten können.“ 

Andere Experten, wie der Cyber-Manager von Coalfire, Joseph Neumann, zeigten sich deutlich weniger begeistert von den neuen Regeln ZDNet dass Vorschriften „nie einem Unternehmen dabei geholfen haben, seine Sicherheitslage zu verbessern“.

Die verpflichtende Meldepflicht helfe der Branche und niemandem in irgendeiner Weise, sagte er und begründete dies mit der Pflicht Externe Audits und Sicherheitsbewertungen wären bessere Voraussetzungen, um Unternehmen zu einer Gesamtverbesserung zu zwingen Sicherheit.

„Solche Stromerzeugungssektoren hinken aufgrund veralteter Infrastruktur und veralteter Systeme, die seit Jahrzehnten vorhanden sind, häufig in puncto Sicherheit hinterher. Diese Organisationen haben im Laufe der Jahre ihre Unternehmens- und Betriebstechnologienetzwerke langsam zusammengeführt Dies schafft eine schlimme Gelegenheit für schlimme Dinge, wie wir beim Vorfall mit der Colonial Pipeline gesehen haben“, sagt Neumann sagte.

„Die Bundesregierung selbst kämpft darum, ihre Systeme sicher zu halten, wie die jüngsten Verstöße gegen SolarWinds und die vom Heimatschutzministerium verhängten Sofortmaßnahmen zur Schadensbegrenzung zeigen.“

John Bambenek, der Threat Intelligence-Berater bei Netenrich, sagte, dass die obligatorische Benachrichtigungsregel zwar die meiste Aufmerksamkeit erhalten werde, die Schutzvorschriften jedoch weitaus wichtiger seien.

„Tatsache ist, dass wir Tausende von Seiten mit Richtlinien, Vorschriften und Studien zur Sicherheit für die Bundesregierung haben und diese immer noch verletzt werden“, sagte Bambenek. „Ein Regulierungsansatz, der auf der Verhinderung des letzten Vorfalls basiert, wird im Hinblick auf die Verhinderung zukünftiger Vorfälle immer mangelhaft sein.“