信息來源:安全內參
前情回顧·美國關基行業(yè)安全大躍進
安全內參10月21日消息����,美國運輸安全管理局(TSA����,以下簡稱運安局)周二發(fā)布一項網絡安全指令,要求對指定的客運和貨運鐵路運營商實施監(jiān)管�����,通過基于績效指標的措施增強網絡安全彈性���。這項指令將進一步加強國家鐵路運營的網絡安全預防與彈性水平��,并以此為基礎�,逐步增強其他運輸方式的網絡安全防御能力。
加強鐵路網絡安全指令
這份指令的主文件題為《加強鐵路網絡安全-SD1580/82-2022-01》�����,共七頁��。該文件自10月24日起生效�����,有效期一年�����。指令對客運和貨運鐵路運營商的網絡安全提出了多項要求���,制定者包括行業(yè)利益相關方與聯邦政府合作伙伴,如國土安全部下轄的網絡安全與基礎設施安全局(CISA)�����、交通部下轄的聯邦鐵路管理局(FRA)。
該指令要求���,貨運鐵路承運人(所有者/運營商)和其他運安局指定的貨運鐵路機構應指定一名網絡安全協調員�。該協調員必須隨時與運安局及CISA保持聯絡����,并負責協調網絡安全實踐與安全事件管理。
此外�,貨運鐵路承運人還需要向CISA上報網絡安全事件并制定事件響應計劃,以降低IT/OT系統(tǒng)受網絡安全事件影響時�����,發(fā)生運營中斷的風險�。
各鐵路承運人還需要使用運安局提供的模版表格開展網絡安全漏洞評估,并將結果提交給運安局�。漏洞評估包括審查當前實踐與行為,解決IT/OT系統(tǒng)面臨的網絡風險���,確定現有網絡安全措施中的不足���,確定補救措施以解決一切已發(fā)現的安全漏洞/缺口。
根據這項指令,運安局將繼續(xù)采取措施�,保護當前威脅環(huán)境下的交通基礎設施。該部門還打算制定新規(guī)則���,在經過公眾意見征詢期后發(fā)布鐵路行業(yè)監(jiān)管要求���。
這項指令要求實施包含縱深防御的分層網絡安全措施,以降低關鍵鐵路運營及設施所面臨的網絡安全威脅風險����。近期一系列真實事件已經反復證明,惡意個人�、組織及政府構成的威脅形勢正日趨復雜,安全漏洞愈發(fā)凸顯���,貫徹執(zhí)行指令要求已經迫在眉睫��。
鐵路網絡安全緩解措施與測試指令
除《加強鐵路網絡安全》之外�,運安局還發(fā)布了《鐵路網絡安全緩解措施與測試-SD 1580/82-2022-01》指令文件�����。
該文件共14頁�����,要求鐵路所有者/運營商應向運安局提交網絡安全實施計劃以供審批��。在獲得運安局批準之后����,計劃須進一步制定可供運安局實施合規(guī)性審查的安全措施和要求。
此外����,鐵路所有者/運營商還須提供額外文件,并根據需要為運安局提供合規(guī)性審查訪問權限�����。在制定網絡安全實施計劃的過程中�����,所有者/運營商可以使用以往的風險或漏洞評估成果來識別出關鍵網絡系統(tǒng)�����,并優(yōu)先考慮與安全指令緊密相關的網絡安全措施�����。
鐵路網絡安全將迎來較大提升
運安局局長David Pekoske在媒體聲明中提到,“長久以來���,美國鐵路一直以積極的前瞻性方式保護自身網絡免受威脅侵擾�����,并在過去一年中努力建立起額外彈性�。此次發(fā)布基于績效的網絡安全指令���,將進一步推動關鍵交通基礎設施免受攻擊影響�。運安局�、鐵路管理局、CISA和鐵路行業(yè)在制定這項安全指令期間完成的重大合作�����,也讓我們深受鼓舞����。”
除了安全指令之外�,客運和貨運鐵路承運人還可以獲取陸路運輸網絡安全資源工具包���,用于為員工少于1000人的陸路運輸運營商提供網絡風險管理信息��。
工具包中的資料主要來自三大來源����,包括美國國家標準與技術研究院(NIST)用于改善關鍵基礎設施網絡安全的框架;旨在提升美國民眾對網絡威脅的理解���、保障美國公眾網上安全的全國性公眾意識活動Stop.Think.Connect����;以及負責改善國家網絡安全態(tài)勢���、協調網絡信息共享并管理網絡風險的美國計算機應急準備小組�����。
安全廠商GuidePoint Security的OT網絡安全高級顧問Chris Warner評論稱:“眾所周知���,鐵路行業(yè)的網絡安全資源一直比較有限。這種有限性不僅體現在財務預算方面�����,也體現在因缺乏知識淵博的員工而難以實施成熟網絡安全法規(guī)和零信任等現代安全方法上?�!?
Warner說�,“對鐵路運營商來說,網絡分段策略和控制要求將帶來巨大提升����,敦促他們不得不重新設計大部分控制系統(tǒng)。這當然是朝著正確方向邁出的重要一步�,但這條發(fā)展之路也不可能一帆風順,意味著鐵路行業(yè)必須現代化�����,必須擺脫舊系統(tǒng)并引入新的訪問控制方法�����?���!?
今年7月,運安局修訂并重新發(fā)布了關于石油和天然氣管道所有者及運營商的網絡安全指令��。該指令將網絡安全要求的有效期延長了一年,并將以往的規(guī)定性措施調整為基于績效的措施���,希望借此達成關鍵網絡安全目標�。修訂后的指令將繼續(xù)努力幫助美國關鍵管道輸送運營商建立起網絡安全彈性���。
