新闻分析

正在更新的管道安全指令,反映TSA挣扎

TSA指令发出后殖民管道攻击受到了广泛的批评,但该机构正与业界合作,提高他们。

  • 在Facebook上分享
  • 在Twitter上分享
  • 分享在LinkedIn
  • 在Reddit分享
  • 通过电子邮件分享
  • 印刷资源

方案 |

数据管道主要
思想库

在毁灭性的直接后果ransomware攻击在殖民管道,美国运输安全管理局(TSA) 2021年5月发布匆忙准备的安全指令需要石油和天然气管道公司报告每一个安全事件和网络安全基础设施安全机构(CISA)不晚于12小时后确定。公司无法满足这个和其他安全需求指令被罚款每天起价7000美元。

尽管大多数专家认为,此举是一个正确方向的一步,管道公司及其游说武器,包括美国石油学会、叫屈,说联邦政府与私营部门未能充分合作制定法规对这种复杂的工业控制社区。一个更详细的跟踪最初的指令宣布7月21日,2021年,但没有公开发布。

据说这第二个指令包含授权有关密码更新,禁用微软宏,额外的安全措施,包括多因素身份验证(MFA)和密码更改可编程序逻辑控制器(plc)。此外,它提供了管道所有者和经营者选择建议替代这些措施。

现在运输安全管理局,一只手臂的国土安全部(DHS)据报道,准备调整的一些需求在第二个指令,尤其是放松事故报告要求,这显然是扩大从12到24小时5月29日。此外,据报道更新第二指令安排在不晚于7月26日。

运输安全管理局的一名发言人表示,新指令是一个运动向“绩效模型,提高安全性并提供所需的灵活性,以确保网络安全技术进步与改善。”指令的批评之一是,运输安全管理局将没有足够的工业安全专家监督其新兴管道规定。TSA声称它雇佣了20多名专家,致力于管道安全。

TSA安全法规是“一团乱”

目前尚不清楚是什么在第二个指令,但TSA似乎在挣扎努力工艺管道行业安全法规。“TSA是完全不知所措,”预估O ' reilly,首席产品官兼联合创始人CyberSaint,告诉方案。“这有点混乱,我不认为这是有意为之。我认为陷阱的已经存在的标准的东西,像报告。”

所有者和首席执行官帕特里克·米勒安培工业安全,告诉社会,“这听起来像是TSA终于恍然大悟,我不确定是什么。有很多东西关起门来,不管是游说机构或通过与气体的直接沟通,公用事业公司的高管们,和其他的东西。但我可以告诉你TSA的压力是巨大的。”

罗恩Fabela的话,首席技术官兼联合创始人SynSaber认为,最初的指令是反动的,而不是深思熟虑的。“他们只是随意扔一些炒作,去实现MFA和去实现零信任和回到我们在一些时间,和每个人都是伟大的,”他告诉方案。“他们现在正在做的是引进美国石油学会和其他人来说,基本上那些规定,为他们的评论和反馈。他们会经历一些迭代它,这可能是他们应该做的第一次。”

IT安全概念被错误地应用于环境

时准确地识别是什么毛病TSA的指令,答案是不清楚,因为这些细节未曾公开过。此外,行业内那些看到他们不允许透露。“如果我们不告诉坏人安全控制需求是什么,他们不知道如何攻击我们。仍然对我来说就像一个奇怪的心态在这个阶段的比赛,”Fabela的话说道。

然而,很明显的一些一般的症结是什么。O ' reilly指向一些修补的要求,这可能不适当地一些它修补原则适用于环境。“每个人都倾向于看通过一个镜头,但修补在OT是完全不同的。你需要系统离线。修复周期长和容易理解。有个危险是,你可能会影响生产。”

米勒突显出IT安全概念不适用在OT环境中更加强烈。“一些东西,对不起,只是绝对愚蠢的尝试申请一个控制系统,”他说。”,一个正常思维的人会问这些事情发生在一个控制系统。任何人与任何经验控制系统不会要求这些东西。看起来就像他们把一堆安全控制,动摇了他们在一个袋子里,拉出来,说,做这些事情。”

具体来说,需求在双因素身份验证和修改密码指令plc不可行或者会给网络安全带来潜在的危害。“如果我有一条线,某种气体输电线路,它有,我们就随便说40或50 plc一路从端到端,我要滚一辆卡车到40或50个人位置进行密码更改,”米勒说。”,我可以修改密码弱吗?它甚至没有说强密码。这仅仅是:改变密码。所以,我可以更改密码没有密码吗?所以写得很差,所以不觉得。”

TSA会更好的模型

关于TSA如何更适当修改的方法,它可以看看其他现行监管模式。quasi-voluntary关键基础设施保护(CIP)需求建立了北美电力可靠性公司(或称为NERC-CIP)是一组规则TSA可以考虑。

“在NERC,有地区审计师Fabela说。“他们有一个审计计划,有很多流程和严谨,我认为这是成熟的标志。我不认为TSA网络法规还存在。”

米勒青睐美国石油协会标准1164建立网络安全规范管道基础设施。“如果我有我的建议,他们问我,我认为你应该设计一个基于绩效的监管结构API 1164左右,”他说。“这就像NERC-CIP的版本。他们写的。这是为他们设计的。坦率地说,这是一个很多比NERC-CIP在我看来。这是固体。这是好东西。”

TSA可能缺乏专业知识

一个批评从一开始就把TSA负责管道安全缺乏人才的管理规定。尽管TSA表示,它已聘请20人做这个任务,工业控制安全专家对此表示怀疑。

“没有20人与管道的经验,有任何监管意义上,”米勒说。“这些人不长在树上,他们当然不是20 TSA薪酬等级。这是不现实的。我的意思是,出去,20人,然后让他们通过一些工业控制系统的安全培训,让他们看一些监管历史,这些都是可能发生的事情。但你不会出去找经验丰富的专业人员,不是20人。”

相关:

版权©2022 IDG通信公司。足球竞彩网下载

7热网络安全趋势(和2冷)