DHS випускає нові вказівки з кібербезпеки для трубопроводів після колоніальної атаки

Управління транспортної безпеки Департаменту внутрішньої безпеки опублікував нові правила кібербезпеки для власників і операторів трубопроводів, які дотримуються атака програми-вимагача на Colonial Pipeline що змусило тисячі людей у ​​США боротися за газ близько тижня.

Останніми тижнями Colonial зіткнувся з негативною реакцією через те, як вони відреагували на напад і зізналися в цьому заплатив нападникам майже 5 мільйонів доларів інструменти для відновлення своїх систем. Інструменти, які вони отримали натомість, не допомогли, і федеральному уряду довелося втрутитися, щоб допомогти компанії відновити роботу, оскільки ціни на газ на Східному узбережжі різко зросли.

Нова директива DHS, яка була вперше повідомила The Washington Post раніше цього тижня, змушує власників трубопроводів повідомляти про будь-які інциденти кібербезпеки до відділу кібербезпеки та Агентство безпеки інфраструктури та вимагає, щоб усі трубопроводи мали координатора з кібербезпеки, який може бути на виклику 24/7.

Усі оператори трубопроводів також повинні будуть надіслати CISA та TSA звіт за 30 днів про «свою поточну практику, а також виявити будь-які прогалини». і пов’язані заходи з відновлення». На додаток до нових заходів TSA розглядає інші обов’язкові заходи для трубопроводів і в заяві, У DHS заявили, що директива безпеки дозволить їм «краще виявляти, захищати та реагувати на загрози», спрямовані проти країни. трубопроводи.

Міністр внутрішньої безпеки Алехандро Майоркас заявив, що у департаменту не було іншого вибору, окрім як адаптуватися до «нових і нових загроз», які продовжують розвиватися.

«Нещодавня атака програми-вимагача на великий нафтопровід демонструє, що кібербезпека трубопровідних систем має вирішальне значення для безпеки нашої країни», — сказав Майоркас. «DHS продовжуватиме тісно співпрацювати з нашими партнерами з приватного сектора, щоб підтримувати їх діяльність і підвищувати стійкість критично важливої ​​інфраструктури нашої країни».

The Washington Post зазначає, що атака на Colonial призвела до зупинки трубопроводу на 11 днів і залишила федеральних чиновників вражений, враховуючи руйнівні наслідки для авіакомпаній, транспортної та хімічної промисловості, якщо зупинка триватиме тривалий час довше.

Перший набір інструкцій з кібербезпеки для трубопроводів був виданий у 2010 році та оновлений у 2018 році TSA, але зіткнулися з негативною реакцією через те, що вони були добровільними та тьмяними, враховуючи еволюцію кібератак можливості.

За словами представників DHS, які розмовляли з The Washington Post, якщо будь-яке з нових правил буде порушено, трубопроводи зіткнуться з фінансовими штрафами.

У США наразі більше ніж 3000 трубопровідних компаній управляють майже трьома мільйонами миль трубопроводу в країні. Уряд зіткнувся з критикою в Конгресі та з боку операторів трубопроводів за наявність штату офісу TSA лише шість людей спостерігають за кібербезпекою всіх нафто- і газопроводів.

Також точилися значні дебати щодо того, який урядовий орган краще захищатиме кібербезпеку країни. трубопроводів, причому деякі в Комітеті Палати представників з питань енергетики та торгівлі стверджують, що Міністерство енергетики має більше досвіду в цій галузі, ніж TSA.

Експерти з кібербезпеки неоднозначно відреагували на нові правила. Деякі сказали, що вони зробили недостатньо для того, щоб змусити операторів трубопроводів серйозно ставитися до кібербезпеки, тоді як інші стурбовані тим, що тягар покладається на жертв, щоб захистити себе.

Джим Гоголінскі, віце-президент iboss, сказав, що директива, ймовірно, створена за моделлю існуючої Стандарти НКРЕ CIP які призначені для запобігання та пом’якшення атак на критичну електричну інфраструктуру.

«Звітність, очевидно, є ключовою частиною цього, але також протоколи безпеки, управління системою та навчання персоналу. Стандарти CIP НКРЕ дотримуються уважно, тому що штрафи за їх недотримання можуть сягати 1 мільйона доларів на день за порушення», – сказав Гоголінський. «Якщо нова директива про трубопроводи включатиме аналогічні штрафи, ми очікуємо швидких зусиль промисловості, щоб привести її у відповідність».

Генеральний директор Nozomi Networks Едгард Капдевіель сказав, що його компанія працює з нафтогазовими підприємствами по всьому світу, і зазначив, що Як і більшість критично важливих секторів інфраструктури в США, нафтогазова промисловість не мала обов’язкових кіберстандартів зараз.

Обов’язкова вимога звітування про порушення дозволить розширити співпрацю між операторами трубопроводів, постачальниками засобів безпеки та уряду, сказав Капдевіель, додавши, що відкритий підхід до обміну інформацією відіграватиме велику роль у розбудові більш зрілого кібер defensc.

«Розподілений характер нафтогазового сектору робить це надзвичайно складним. Це вимагає багатьох різних форм підключення, і може бути складніше захистити. Ці середовища розподілені та фізично віддалені», – сказав Капдевіель.

«Немає двох однакових операторів з точки зору точних процесів і систем, які вони використовують, що ускладнює встановлення єдиного набору вимог до кібербезпеки, який буде ефективно працювати для всіх. Хоча є місце для регламентованих вимог безпеки, ми повинні бути обережними, щоб не покласти весь тягар на жертв. Податкові пільги та центри передового досвіду, що фінансуються державою, допоможуть операторам критичної інфраструктури створити та підтримувати ефективні програми кібербезпеки з часом».

Інші експерти, як-от кіберкерівник Coalfire Джозеф Нойманн, були набагато менш захоплені новими правилами, кажучи ZDNet що правила «ніколи не допомагали компанії покращити стан безпеки».

Вимоги щодо обов’язкової звітності жодним чином не допомагають галузі чи будь-кому, сказав він, пояснюючи це обов’язковість Зовнішні аудити та оцінки безпеки були б кращими вимогами, щоб змусити компанії покращити свою загальну роботу безпеки.

«Такі сектори виробництва електроенергії часто відстають у забезпеченні безпеки через застарілу інфраструктуру та застарілі системи, які існують десятиліттями. Протягом багатьох років ці організації повільно змішували свої корпоративні мережі та мережі операційних технологій створюючи погану можливість для поганих речей, як ми бачили в інциденті Colonial Pipeline", - Нойман сказав.

«Федеральний уряд сам намагається зберегти свої системи в безпеці, як це видно з нещодавніх порушень SolarWinds і пом’якшених заходів, прийнятих Департаментом внутрішньої безпеки».

Джон Бамбенек, радник із розвідки загроз у Netenrich, сказав, що хоча правило про обов’язкове сповіщення приверне найбільше уваги, захисні правила є набагато важливішими.

«Факти свідчать про те, що у нас є тисячі сторінок політики, правил і досліджень щодо безпеки для федерального уряду, і вони все ще порушуються», — сказав Бамбенек. «Регуляторний підхід, заснований на запобіганні останнього інциденту, завжди буде відсутній з точки зору запобігання майбутнім інцидентам».