信息来源:安全内参
前情回顾·美国关基行业安全大跃进
安全内参10月21日消息,美国运输安全管理局(TSA,以下简称运安局)周二发布一项网络安全指令,要求对指定的客运和货运铁路运营商实施监管,通过基于绩效指标的措施增强网络安全弹性。这项指令将进一步加强国家铁路运营的网络安全预防与弹性水平,并以此为基础,逐步增强其他运输方式的网络安全防御能力。
加强铁路网络安全指令
这份指令的主文件题为《加强铁路网络安全-SD1580/82-2022-01》,共七页。该文件自10月24日起生效,有效期一年。指令对客运和货运铁路运营商的网络安全提出了多项要求,制定者包括行业利益相关方与联邦政府合作伙伴,如国土安全部下辖的网络安全与基础设施安全局(CISA)、交通部下辖的联邦铁路管理局(FRA)。
该指令要求,货运铁路承运人(所有者/运营商)和其他运安局指定的货运铁路机构应指定一名网络安全协调员。该协调员必须随时与运安局及CISA保持联络,并负责协调网络安全实践与安全事件管理。
此外,货运铁路承运人还需要向CISA上报网络安全事件并制定事件响应计划,以降低IT/OT系统受网络安全事件影响时,发生运营中断的风险。
各铁路承运人还需要使用运安局提供的模版表格开展网络安全漏洞评估,并将结果提交给运安局。漏洞评估包括审查当前实践与行为,解决IT/OT系统面临的网络风险,确定现有网络安全措施中的不足,确定补救措施以解决一切已发现的安全漏洞/缺口。
根据这项指令,运安局将继续采取措施,保护当前威胁环境下的交通基础设施。该部门还打算制定新规则,在经过公众意见征询期后发布铁路行业监管要求。
这项指令要求实施包含纵深防御的分层网络安全措施,以降低关键铁路运营及设施所面临的网络安全威胁风险。近期一系列真实事件已经反复证明,恶意个人、组织及政府构成的威胁形势正日趋复杂,安全漏洞愈发凸显,贯彻执行指令要求已经迫在眉睫。
铁路网络安全缓解措施与测试指令
除《加强铁路网络安全》之外,运安局还发布了《铁路网络安全缓解措施与测试-SD 1580/82-2022-01》指令文件。
该文件共14页,要求铁路所有者/运营商应向运安局提交网络安全实施计划以供审批。在获得运安局批准之后,计划须进一步制定可供运安局实施合规性审查的安全措施和要求。
此外,铁路所有者/运营商还须提供额外文件,并根据需要为运安局提供合规性审查访问权限。在制定网络安全实施计划的过程中,所有者/运营商可以使用以往的风险或漏洞评估成果来识别出关键网络系统,并优先考虑与安全指令紧密相关的网络安全措施。
铁路网络安全将迎来较大提升
运安局局长David Pekoske在媒体声明中提到,“长久以来,美国铁路一直以积极的前瞻性方式保护自身网络免受威胁侵扰,并在过去一年中努力建立起额外弹性。此次发布基于绩效的网络安全指令,将进一步推动关键交通基础设施免受攻击影响。运安局、铁路管理局、CISA和铁路行业在制定这项安全指令期间完成的重大合作,也让我们深受鼓舞。”
除了安全指令之外,客运和货运铁路承运人还可以获取陆路运输网络安全资源工具包,用于为员工少于1000人的陆路运输运营商提供网络风险管理信息。
工具包中的资料主要来自三大来源,包括美国国家标准与技术研究院(NIST)用于改善关键基础设施网络安全的框架;旨在提升美国民众对网络威胁的理解、保障美国公众网上安全的全国性公众意识活动Stop.Think.Connect;以及负责改善国家网络安全态势、协调网络信息共享并管理网络风险的美国计算机应急准备小组。
安全厂商GuidePoint Security的OT网络安全高级顾问Chris Warner评论称:“众所周知,铁路行业的网络安全资源一直比较有限。这种有限性不仅体现在财务预算方面,也体现在因缺乏知识渊博的员工而难以实施成熟网络安全法规和零信任等现代安全方法上。”
Warner说,“对铁路运营商来说,网络分段策略和控制要求将带来巨大提升,敦促他们不得不重新设计大部分控制系统。这当然是朝着正确方向迈出的重要一步,但这条发展之路也不可能一帆风顺,意味着铁路行业必须现代化,必须摆脱旧系统并引入新的访问控制方法。”
今年7月,运安局修订并重新发布了关于石油和天然气管道所有者及运营商的网络安全指令。该指令将网络安全要求的有效期延长了一年,并将以往的规定性措施调整为基于绩效的措施,希望借此达成关键网络安全目标。修订后的指令将继续努力帮助美国关键管道输送运营商建立起网络安全弹性。