在高跟鞋上关于改善国家网络安全的行政命令在勒索软件攻击迫使殖民地管道关闭后,国土安全部负责监督管道安全的机构运输安全管理局(TSA)于2021年5月27日宣布了自己的计划安全指令关键管道所有者和运营商的新网络安全要求。(为什么在这个安全指令之前,管道只有安全建议,而没有安全需求,这是另一个博客的话题。)

现在,关于Colonial Pipeline勒索软件攻击的尘埃已经尘埃落定,是时候认真考虑行政命令和TSA安全指令中你可能忽略的一些真正重要的东西:风险。虽然这两项新规定是在强调网络安全的重要性和监管要求的必要性方面迈出的伟大的第一步——这是一件非常好的事情——以防止殖民地管道事件再次发生,但我们还应该考虑其他一些事情。

关键基础设施的系统性风险私营机构

尽管殖民管道是美国最大的精炼产品管道系统,但它是一家私人拥有的分包商,而不是联邦实体,这在关键基础设施中比你想象的更常见。私营部门拥有巨大的财富85%国家的关键基础设施和关键资源。与电力公用事业不同,管道行业不受强制性网络安全标准的约束,这造成了风险的不平衡方程。如果没有对网络安全的问责和监督,私营部门就会成为一个巨大的系统性风险(以第三方风险的形式)的关键基础设施-即在其控制之外,但对客户的可靠性、完整性和信任有巨大影响的外部事件。

自愿遵守法规是一个矛盾的说法

制定规章、标准和框架是一回事;而强制遵守则完全是另一回事。有一些自我监管的行业在“自我监管”方面取得了成功,并拥有广泛的项目,包括独立的董事会、委员会、管理机构和规则。例如,法律行业通过创建并支持美国律师协会(American Bar Association)来避开监管。医疗行业在美国医学协会的自我管理方面同样成功。关键基础设施不属于这些行业。石油和天然气管道都由TSA监管,属于网络安全和基础设施安全局(CISA)的权限。2021年2月,中钢协发布了管道网络安全资源库描述为一套免费的,自愿的资源加强网络安全态势。制定法规而不强制像Colonial Pipeline这样的公司遵守,感觉就像让狼守鸡舍。在网络安全成为一项强制要求之前,责任和问责制在最好的情况下将继续不一致,在更坏的情况下将不存在。

安全指令在某些领域很大胆,但在其他领域还不够深入

首先,好消息是,安全指令迈出了大胆的一步,要求管道所有者和运营商:

  • 报告已确认和潜在网络安全事件。
  • 为公司指定一名网络安全协调员,每周7天,每天24小时待命。
  • 审查其当前的网络安全实践,在30天内确定并报告漏洞,并向TSA和CISA提出补救计划。

考虑到管道一直处于监管状态伊什自我管理,这三个要求至少有可能让网络安全的球滚动起来,只要这些要求得到持续的监督。

现在说说不太好的消息:任何想在安全指令中寻找漏洞的人都很容易找到几个。首先,文件中没有提到“网络安全协调员”角色的职责、资历或权限级别,只是说他们全天候待命。值得一提的是,一个主要的建议来自2018年技术审计殖民管道公司(Colonial Pipeline)的一个重要举措是聘请一位首席信息安全官(CISO),这一职位被认为对任何关键基础设施公司都是必不可少的。相反,Colonial将CISO的职责分配给了CIO的下属,我们知道这是如何发生的。其次,目前尚不清楚对网络安全实践的审查应该作为自我评估还是外部审计,以及30天的时间框架是从5月27日安全指令宣布之日开始,还是从审查完成之日开始。值得注意的是,没有参考IEC 62443或NIST SP 800-82等框架进行评估,这为多种解释敞开了大门,并且在最需要的时候缺乏说明性指导。

美国最大的燃料管道遭到勒索软件攻击,才证明管道网络安全对国土安全的重要性,这是荒谬的,也验证了约翰·w·伯格曼的名言:“永远没有足够的时间把事情做好,但总有足够的时间把事情重新做一遍。”幸运的是,TSA正在考虑额外的后续强制性措施,进一步支持管道行业加强网络安全。