去年春天,勒索软件攻击迫使殖民管道关闭。持续一周的恢复中断了整个美国东南部的零售天然气供应。殖民管道只占了超过横跨美国23万英里的输油管道携带危险液体和二氧化碳。这一事件促使美国运输安全管理局(TSA)匆忙实施管道行业的新网络安全规则.一些规则是自愿的,但其他规则非常具体和繁重,例如需要在发现网络安全事件的12小时内向网络安全与基础设施安全局(CISA)报告网络入侵。除了过于规定性的要求外,TSA最初并没有公开发布整套规则。相反,他们只与一些选定的行业代表分享。这种透明度的缺乏进一步导致了石油和天然气公司、行业专家以及相关贸易组织的强烈反对,他们希望进行更多的合作。

TSA现在放松这些规定是基于管道公司和行业专家的担忧。TSA修改了最初的指导方针,重新发布了安全指令有更多利益相关者的投入。TSA明智地改变了方法,描述了必须实现的具体结果,例如防止未经授权的访问关键系统,但将“如何”留给了各个管道所有者和运营商。管道公司现在有更大的灵活性来确定最佳实施方案,以满足这些新的监管要求。

TSA愿意根据行业反馈调整要求是受欢迎的,但关键基础设施不存在或主要是自愿的网络安全法规的日子正在结束。美国政府正在实施更多法规,以提高网络事件的透明度,以保护国家的关键基础设施。所有关键的基础设施行业,而不仅仅是管道行业,都在接受新的和悬而未决的法规的审查,例如:

对遵从性负担、惩罚和基础设施兼容性的担忧是合理的,必须与关键基础设施攻击的增加以及更新或修补操作技术(OT)环境所需的更长的前置时间相比较。由于关键基础设施事故的后果更严重,因此这些行业应预计将遵守更高的监管标准。

遵循以下三个步骤来建立一个OT策略:

  1. 获得网络的准确资产可见性。你无法保护你不知道自己拥有的东西。有了这个清单,可以对网络进行分段,以保护易受攻击的资产,并制定网络安全路线图,以加强监控和补丁等运营活动。利用为OT环境的独特特征量身定制的安全解决方案。在程序中构建认证特性。您需要证明这些网络安全控制工作正常,以证明合规性。
  2. 制定网络事件响应程序,并将定期练习纳入现有的安全计划中。练习,练习,再练习。要像应对天气中断一样熟练应对网络中断。强化OT环境需要时间,因此您必须准备好应对网络攻击并进行恢复。无论您的内部能力如何,与专门应对OT网络事件的值得信赖的合作伙伴一起获得事件保留是最佳实践。事件响应计划的一个关键要素必须包括及时报告网络事件的流程,因为这一要求肯定会包含在未来的法规中。
  3. 参与或保持积极的公共/私人伙伴关系。与您的同事和合作伙伴协作,向监管机构发出统一的声音。正如TSA所证明的那样,它愿意找到公平的解决方案,但它需要你们的投入。

不要等到法规最终确定。把注意力集中在正确的基本面上;不要担心即将出台的立法的细节。考虑到政府机构的分散性质和关键基础设施行业的多样性,政府实体之间的网络安全要求不太可能保持一致。如果您解决了健全网络安全卫生的基本要素,而不是追逐特定的要求,您将能够处理新的监管要求,并能够提高您的网络弹性。

在哪里可以找到更多信息

你可以在这里找到管道安全指令的完整文本: