Gli esperti di sicurezza mettono in discussione le nuove regole di sicurezza informatica DHS/TSA per le compagnie ferroviarie

Giovedì, il Dipartimento per la Sicurezza Interna (DHS) rilasciato nuove regole per il settore ferroviario merci e passeggeri degli Stati Uniti. Le regole rendono obbligatorio per le aziende avere un coordinatore della sicurezza informatica, segnalare la sicurezza informatica incidenti alla CISA, completare un’autovalutazione della sicurezza informatica e creare una risposta agli incidenti informatici piano.

I funzionari del DHS hanno ripetutamente affermato che le nuove regole sono state stabilite dopo la consultazione con esperti del settore e incontri con le compagnie ferroviarie. Hanno aggiunto che le regole sono state promosse dalla Transportation Security Administration (TSA) dopo che la CISA li ha informati delle legittime minacce che affliggono il settore ferroviario.

Quest'anno l'agenzia governativa ha dovuto affrontare una reazione negativa da parte di aziende di diversi settori alti parlamentari repubblicani – per le norme sulla sicurezza informatica che alcuni hanno definito onerose e inutili.

Nel mese di ottobre, i senatori Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – tutti leader repubblicani della Commissione per il Commercio, la Scienza e la Trasporti – ha criticato l’uso da parte del DHS dell’autorità di emergenza per promuovere nuove regole per i sistemi ferroviari e aeroportuali statunitensi, chiedendosi se fossero “adeguate in assenza di minaccia immediata."

I legislatori repubblicani hanno affermato che i “requisiti prescrittivi” stabiliti dalla TSA “potrebbero non essere al passo con le pratiche attuali” e potrebbero “limitare la capacità delle industrie interessate di rispondere alle minacce in continua evoluzione, riducendo così la sicurezza." Hanno inoltre affermato che le regole imporranno "ritardi operativi non necessari in un momento di congestione senza precedenti nell'approvvigionamento della nazione catena."

"Piuttosto che requisiti prescrittivi che potrebbero non migliorare le capacità di affrontare le minacce future, la TSA dovrebbe prendere in considerazione standard di prestazione che stabiliscono obiettivi per la sicurezza informatica consentendo al tempo stesso alle aziende di raggiungerli", i senatori ha scritto. "Se si decidesse di procedere con mandati specifici, il processo di notifica e commento consentirebbe almeno un'attenta considerazione delle pratiche e delle preoccupazioni del settore." 

I senatori hanno inoltre affermato che le pratiche attuali "funzionano bene".

Alla domanda sulle ultime normative emanate dalla TSA per il settore ferroviario, molti hanno risposto in merito alla sicurezza informatica gli esperti coinvolti nel settore ferroviario hanno espresso preoccupazione su come funzionerebbero le nuove regole pratica.

Lo ha detto Jake Williams, CTO di BreachQuest ZDNet che ad alto livello le direttive sembrano ragionevoli. Ma uno sguardo più attento alle nuove regole ha sollevato dubbi su come la CISA avrebbe gestito il diluvio di segnalazioni di incidenti ora richieste.

"La sezione B.2.b della direttiva Enhancing Rail Cybersecurity impone la segnalazione della scoperta di software dannoso su qualsiasi sistema IT entro 24 ore dalla scoperta. È difficile immaginare come la TSA trarrà vantaggio dalla conoscenza di ogni rilevamento di software dannoso su ogni sistema IT", ha affermato Williams.

"Presi per oro colato, gli operatori ferroviari dovrebbero segnalare ogni singolo malware relativo alle merci viene scoperto nell'ambiente, anche se antivirus o EDR hanno impedito che il malware venisse mai rilevato esecuzione. Anche se gli operatori ferroviari avessero il personale adeguato per creare questi rapporti, è probabile che la TSA tralascerà rapporti significativi sepolti nel rumore. Gli onerosi requisiti di reporting ridurranno probabilmente la sicurezza ferroviaria, almeno nel breve termine, poiché i team a corto di personale dedicano risorse alla segnalazione piuttosto che alla sicurezza della rete."

Williams ha aggiunto che questi problemi di linguaggio politico vengono generalmente scoperti durante il periodo di commento pubblico, a cui la TSA ha scelto di rinunciare.

"Ci sono probabilmente altre questioni significative nelle due direttive sulla sicurezza informatica ferroviaria rilasciate dalla TSA senza un periodo di revisione pubblica", ha osservato Williams.

Ron Brash, vicepresidente della società di sicurezza software ICS/OT aDolus Technology, ha fatto eco alle preoccupazioni di Williams sui requisiti di reporting, spiegando che la maggior parte delle organizzazioni non dispone delle competenze e delle risorse per farlo soddisfare.

"Attualmente, al di là degli attacchi evidenti come i ransomware, la maggior parte delle organizzazioni ha difficoltà a distinguere tra eventi accidentali e dannosi. Ad esempio, un carrello elevatore può agganciare un palo della luce e un tratto di fibra ottica viene interrotto: la connettività potrebbe degradarsi o interrompersi completamente. Una legislazione come questa può portare a comportamenti eccessivamente zelanti perché i coordinatori potrebbero saltare a sostenere immediatamente che tutto è correlato al cyber se il tempo stringe ferocemente allontanarsi, o al contrario potenzialmente provocare l'effetto opposto a quello previsto: le organizzazioni potrebbero evitare di segnalare e migliorare del tutto la visibilità dell'infrastruttura" Brash notato.

"Spero che nessuna delle due cose accada perché ciò è controproducente per lo spirito dell'obiettivo e potrebbe scoraggiare un'azione proattiva. Se l'XO di Biden per le SBOM e la trasparenza della catena di fornitura si riversano nel settore ferroviario e dei trasporti, le organizzazioni avranno bisogno di un'accelerazione della crescita e della maturità del programma di sicurezza ieri. Questo è sia un bene che un male, perché la resilienza delle infrastrutture può certamente aumentare, ma è un male perché la quantità complessiva di recupero fondamentale può portare a una paralisi da analisi eccessiva o a un budget insufficiente assegnazione." 

Ha anche affermato che approcci eccessivamente prescrittivi possono comportare una struttura troppo rigida e concentrarsi sul elementi sbagliati, che portano a un esercizio di spunta di caselle di controllo rispetto agli sforzi effettivi per ridurre la sicurezza informatica rischio.

Amir Levintal, amministratore delegato della società di sicurezza informatica ferroviaria Cylus, ha affermato che l’industria ferroviaria ha compiuto notevoli progressi tecnologici progressi nell’ultimo decennio, con la digitalizzazione che aiuta le aziende a migliorare il servizio, l’efficienza, il comfort, le comunicazioni, e altro ancora.

Ma questi sforzi hanno anche ampliato il panorama delle minacce del settore ferroviario per gli hacker, ha affermato Levintal.

"Le nuove direttive della TSA, che richiedono alle ferrovie di rafforzare le loro misure di sicurezza informatica, arrivano come una risposta diretta alle innovazioni che l'industria ferroviaria ha introdotto di recente e le minacce che ne derivano, e queste normative – insieme a quelle simili nell’UE – si evolveranno solo man mano che le nuove tecnologie continueranno ad essere adottate in tutto il pianeta," Levintal spiegato.

Nonostante le preoccupazioni sui nuovi requisiti di segnalazione, alcuni esperti hanno affermato che i rischi per la sicurezza informatica del settore ferroviario superano le preoccupazioni per un reporting troppo zelante.

Il vicepresidente di Coalfire, John Dickson, ha affermato che il potenziale di interruzione è elevato, dati i colli di bottiglia esistenti nella catena di approvvigionamento e la natura delle reti ferroviarie.

Ha osservato che una o due linee ferroviarie chiave servono intere regioni del Nord America che sono vulnerabili alle interruzioni e potrebbero paralizzare l’economia degli Stati Uniti come è quasi successo con l’evento Colonial Pipeline.

"Non abbiamo assistito a un evento nel settore ferroviario al livello di Colonial Pipeline, ma un'interruzione del ransomware, per non parlare di un attacco mirato, è uno scenario plausibile. Il ransomware in particolare, e l'automazione del malware in generale, hanno abbassato il livello in modo così significativo aggressori che il DHS CISA dovrebbe preoccuparsi ed è utile per spingere maggiormente il settore," Dickson disse.

"L'industria ferroviaria, in particolare la parte del trasporto merci, non è generalmente considerata all'avanguardia in termini di sicurezza informatica. È improbabile che senza una “spinta” normativa da parte del governo federale, probabilmente non aumenteranno la loro igiene della sicurezza informatica di propria iniziativa”.

Padraic O'Reilly, chief product officer di CyberSaint, ha definito le nuove regole "buone e tempestive sviluppo" che è "atteso da tempo" perché l'industria ferroviaria è un settore vulnerabile delle criticità degli Stati Uniti infrastruttura.

Con l'obbligo di rendicontazione 24 ore su 24 come base di riferimento, il settore verrà portato sulla strada giusta, ha spiegato O'Reilly, aggiungendo che è stato positivo che le agenzie governative abbiano consultato gruppi come l'Associazione delle ferrovie americane (AAR) prima di rilasciare il regolamenti.

L'AAR ha affermato che loro e altri gruppi dell'industria ferroviaria si sono consultati con il Segretario per la Sicurezza Nazionale Alejandro Mayorkas e la TSA da ottobre per "rivedere le disposizioni che avrebbero posto sfide implementazione."

Il gruppo ha affermato che con le ultime normative "molte delle preoccupazioni più significative del settore sono state affrontate". Tutte le ferrovie di Classe I e Amtrak, oltre a molte i pendolari e i vettori di linea corta, hanno già responsabili della sicurezza informatica e responsabili della sicurezza informatica che fungeranno da coordinatori della sicurezza informatica richiesti, secondo l'AAR.

Molte aziende conducono anche valutazioni sulla sicurezza informatica su base ricorrente e hanno segnalato alcune minacce informatiche alla CISA attraverso la Railway Alert Network (RAN) di AAR.

"Per quasi due decenni, le ferrovie si sono attentamente coordinate tra loro e con i funzionari governativi per migliorare sicurezza delle informazioni, che ha dimostrato di essere un modo efficace e reattivo per affrontare le minacce in continua evoluzione", ha affermato il presidente e amministratore delegato di AAR, Ian Jefferies. “Non ci sono errori: le ferrovie prendono sul serio queste minacce e apprezzano il nostro lavoro produttivo con i partner governativi per mantenere la rete sicura”.