Le DHS publie de nouvelles directives de cybersécurité pour les pipelines après l'attaque coloniale

Administration de la sécurité des transports du ministère de la Sécurité intérieure a publié de nouvelles directives en matière de cybersécurité pour les propriétaires et les exploitants de pipelines suite à attaque de ransomware sur le pipeline Colonial Cela a laissé des milliers de personnes aux États-Unis se démener pour obtenir de l’essence pendant environ une semaine.

Colonial a fait face à des réactions négatives ces dernières semaines en raison de la façon dont ils ont répondu à l'attaque et pour avoir admis qu'ils a payé aux attaquants près de 5 millions de dollars pour des outils pour restaurer leurs systèmes. Les outils qu’ils ont reçus en retour n’ont pas aidé, et le gouvernement fédéral a dû intervenir pour aider l’entreprise à reprendre ses activités alors que les prix de l’essence sur la côte Est montaient en flèche.

La nouvelle directive DHS, qui a été rapporté pour la première fois par le Washington Post plus tôt cette semaine, oblige les propriétaires de pipelines à signaler tout incident de cybersécurité au Service de cybersécurité et Infrastructure Security Agency et exige que tous les pipelines aient un coordinateur de cybersécurité qui peut être de garde 24/7.

Tous les exploitants de pipelines devront également envoyer dans 30 jours à la CISA et à la TSA un rapport sur "leurs pratiques actuelles ainsi que pour identifier les éventuelles lacunes". et les mesures correctives associées. " En plus des nouvelles mesures, la TSA envisage d'autres mesures obligatoires pour les pipelines et dans un communiqué, Le DHS a déclaré que la directive de sécurité leur permettrait de « mieux identifier, protéger et répondre aux menaces » dirigées contre le pays. canalisations.

Le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, a déclaré que le département n'avait d'autre choix que de s'adapter aux « menaces nouvelles et émergentes » qui continuent d'évoluer.

« La récente attaque de ransomware contre un important pipeline de pétrole démontre que la cybersécurité des systèmes de pipelines est essentielle à la sécurité de notre pays », a déclaré Mayorkas. "Le DHS continuera de travailler en étroite collaboration avec nos partenaires du secteur privé pour soutenir leurs opérations et accroître la résilience des infrastructures critiques de notre pays."

Le Washington Post a noté que l'attaque contre Colonial avait provoqué la fermeture du pipeline pendant 11 jours et laissé les responsables fédéraux choqué compte tenu des effets dévastateurs sur les industries du transport aérien, du transport en commun et de la chimie si la fermeture se prolongeait plus long.

La première série de directives de cybersécurité pour les pipelines a été publiée en 2010 et mise à jour en 2018 par la TSA, mais ont été confrontés à des réactions négatives parce qu'ils étaient volontaires et ternes compte tenu de l'évolution des cyberattaques capacités.

Si l’une des nouvelles réglementations n’est pas respectée, les pipelines seront passibles de sanctions financières, selon les responsables du DHS qui ont parlé au Washington Post.

Les États-Unis comptent actuellement plus de 3 000 sociétés pipelinières gérant près de trois millions de milles de pipeline dans le pays. Le gouvernement a été critiqué par le Congrès et par les exploitants de pipelines pour avoir doté d'un bureau de la TSA doté de seulement six personnes qui surveillent la cybersécurité de tous les oléoducs et gazoducs.

Il y a également eu un débat important sur quelle agence gouvernementale serait la mieux adaptée pour protéger la cybersécurité du pays. pipelines, certains membres du comité de l'énergie et du commerce de la Chambre affirmant que le ministère de l'Énergie est plus expérimenté dans le domaine que TSA.

Les experts en cybersécurité ont eu des réponses mitigées à la nouvelle réglementation. Certains ont déclaré qu’ils n’en faisaient pas assez pour forcer les exploitants de pipelines à prendre la cybersécurité au sérieux, tandis que d’autres craignaient que ce soit aux victimes qu’il incombe de se protéger.

Jim Gogolinski, vice-président d'iboss, a déclaré que la directive s'inspire probablement de la directive existante. Normes NERC CIP conçus pour prévenir et atténuer les attaques contre les infrastructures électriques critiques.

"Le reporting en est évidemment un élément clé, tout comme les protocoles de sécurité, la gestion du système et la formation du personnel. Les normes NERC CIP sont suivies de près car les amendes en cas de non-conformité peuvent atteindre jusqu'à 1 million de dollars par jour et par violation », a déclaré Gogolinski. "Si la nouvelle directive sur les pipelines prévoit des amendes similaires, nous nous attendons à ce que l'industrie fasse des efforts rapides pour se mettre en conformité."

Edgard Capdevielle, PDG de Nozomi Networks, a déclaré que sa société travaillait avec des entreprises pétrolières et gazières du monde entier et a noté que comme la plupart des secteurs d’infrastructures critiques aux États-Unis, l’industrie pétrolière et gazière n’avait pas de cyber-normes obligatoires jusqu’à ce que maintenant.

L'exigence obligatoire de déclaration des violations permettrait une plus grande collaboration entre les exploitants de pipelines, les fournisseurs de services de sécurité et les gouvernement, a déclaré Capdevielle, ajoutant qu'une approche ouverte du partage d'informations jouerait un rôle important dans la construction d'un cyberespace plus mature. défense.

« La nature décentralisée du secteur pétrolier et gazier rend cette tâche encore plus difficile. Cela nécessite de nombreuses formes de connectivité différentes et peut être plus difficile à sécuriser. Ces environnements sont distribués et physiquement distants", a déclaré Capdevielle.

« Il n'y a pas deux opérateurs identiques en termes de processus et de systèmes précis qu'ils utilisent, ce qui rend plus difficile l'établissement d'un ensemble unique d'exigences en matière de cybersécurité qui fonctionneront efficacement pour tous. Même s'il est possible de réglementer les exigences de sécurité, nous devons veiller à ne pas faire peser tout le fardeau sur les victimes. Les incitations fiscales et les centres d'excellence financés par le gouvernement contribueront à garantir que les opérateurs d'infrastructures critiques puissent créer et maintenir des programmes de cybersécurité efficaces au fil du temps.

D'autres experts, comme Joseph Neumann, responsable de la cybersécurité chez Coalfire, étaient beaucoup moins enthousiasmés par les nouvelles règles, déclarant ZDNet que les réglementations « n’ont jamais aidé une entreprise à améliorer sa posture de sécurité ».

Les exigences de déclaration obligatoire n'aident en aucune façon l'industrie ou qui que ce soit, a-t-il déclaré, expliquant que des audits externes et des évaluations de sécurité seraient de meilleures exigences pour forcer les entreprises à améliorer leurs performances globales. sécurité.

« Les secteurs de production d'électricité comme celui-ci sont souvent à la traîne en matière de sécurité, avec une infrastructure vieillissante et des systèmes existants en place depuis des décennies. Au fil des années, ces organisations ont lentement fusionné leurs réseaux d'entreprise et de technologie opérationnelle. créant une mauvaise opportunité pour que de mauvaises choses se produisent, comme nous l'avons vu lors de l'incident du Colonial Pipeline, " Neumann dit.

"Le gouvernement fédéral lui-même a du mal à assurer la sécurité de ses systèmes, comme le montrent les récentes violations de SolarWinds et les mesures d'atténuation précipitées imposées par le ministère de la Sécurité intérieure."

John Bambenek, conseiller en renseignement sur les menaces chez Netenrich, a déclaré que même si la règle de notification obligatoire recevra le plus de presse, les réglementations de protection sont bien plus importantes.

"Les faits sont que nous avons des milliers de pages de politiques, de réglementations et d'études sur la sécurité pour le gouvernement fédéral et qu'elles sont toujours violées", a déclaré Bambenek. "Une approche réglementaire basée sur la prévention du dernier incident sera toujours insuffisante pour prévenir de futurs incidents."