信息來源:安全內(nèi)參
前情回顧·美國關(guān)基行業(yè)安全大躍進
安全內(nèi)參10月21日消息,美國運輸安全管理局(TSA�,以下簡稱運安局)周二發(fā)布一項網(wǎng)絡(luò)安全指令,要求對指定的客運和貨運鐵路運營商實施監(jiān)管�,通過基于績效指標的措施增強網(wǎng)絡(luò)安全彈性。這項指令將進一步加強國家鐵路運營的網(wǎng)絡(luò)安全預(yù)防與彈性水平�,并以此為基礎(chǔ),逐步增強其他運輸方式的網(wǎng)絡(luò)安全防御能力���。
加強鐵路網(wǎng)絡(luò)安全指令
這份指令的主文件題為《加強鐵路網(wǎng)絡(luò)安全-SD1580/82-2022-01》�,共七頁�����。該文件自10月24日起生效��,有效期一年�。指令對客運和貨運鐵路運營商的網(wǎng)絡(luò)安全提出了多項要求,制定者包括行業(yè)利益相關(guān)方與聯(lián)邦政府合作伙伴�,如國土安全部下轄的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、交通部下轄的聯(lián)邦鐵路管理局(FRA)�����。
該指令要求��,貨運鐵路承運人(所有者/運營商)和其他運安局指定的貨運鐵路機構(gòu)應(yīng)指定一名網(wǎng)絡(luò)安全協(xié)調(diào)員���。該協(xié)調(diào)員必須隨時與運安局及CISA保持聯(lián)絡(luò)�,并負責(zé)協(xié)調(diào)網(wǎng)絡(luò)安全實踐與安全事件管理��。
此外�����,貨運鐵路承運人還需要向CISA上報網(wǎng)絡(luò)安全事件并制定事件響應(yīng)計劃,以降低IT/OT系統(tǒng)受網(wǎng)絡(luò)安全事件影響時���,發(fā)生運營中斷的風(fēng)險�。
各鐵路承運人還需要使用運安局提供的模版表格開展網(wǎng)絡(luò)安全漏洞評估��,并將結(jié)果提交給運安局�����。漏洞評估包括審查當(dāng)前實踐與行為�,解決IT/OT系統(tǒng)面臨的網(wǎng)絡(luò)風(fēng)險,確定現(xiàn)有網(wǎng)絡(luò)安全措施中的不足���,確定補救措施以解決一切已發(fā)現(xiàn)的安全漏洞/缺口�。
根據(jù)這項指令�����,運安局將繼續(xù)采取措施�����,保護當(dāng)前威脅環(huán)境下的交通基礎(chǔ)設(shè)施��。該部門還打算制定新規(guī)則�,在經(jīng)過公眾意見征詢期后發(fā)布鐵路行業(yè)監(jiān)管要求。
這項指令要求實施包含縱深防御的分層網(wǎng)絡(luò)安全措施�,以降低關(guān)鍵鐵路運營及設(shè)施所面臨的網(wǎng)絡(luò)安全威脅風(fēng)險。近期一系列真實事件已經(jīng)反復(fù)證明�����,惡意個人���、組織及政府構(gòu)成的威脅形勢正日趨復(fù)雜���,安全漏洞愈發(fā)凸顯,貫徹執(zhí)行指令要求已經(jīng)迫在眉睫��。
鐵路網(wǎng)絡(luò)安全緩解措施與測試指令
除《加強鐵路網(wǎng)絡(luò)安全》之外���,運安局還發(fā)布了《鐵路網(wǎng)絡(luò)安全緩解措施與測試-SD 1580/82-2022-01》指令文件�。
該文件共14頁���,要求鐵路所有者/運營商應(yīng)向運安局提交網(wǎng)絡(luò)安全實施計劃以供審批�。在獲得運安局批準之后��,計劃須進一步制定可供運安局實施合規(guī)性審查的安全措施和要求。
此外�,鐵路所有者/運營商還須提供額外文件,并根據(jù)需要為運安局提供合規(guī)性審查訪問權(quán)限�。在制定網(wǎng)絡(luò)安全實施計劃的過程中,所有者/運營商可以使用以往的風(fēng)險或漏洞評估成果來識別出關(guān)鍵網(wǎng)絡(luò)系統(tǒng)�����,并優(yōu)先考慮與安全指令緊密相關(guān)的網(wǎng)絡(luò)安全措施�����。
鐵路網(wǎng)絡(luò)安全將迎來較大提升
運安局局長David Pekoske在媒體聲明中提到���,“長久以來�,美國鐵路一直以積極的前瞻性方式保護自身網(wǎng)絡(luò)免受威脅侵擾���,并在過去一年中努力建立起額外彈性���。此次發(fā)布基于績效的網(wǎng)絡(luò)安全指令,將進一步推動關(guān)鍵交通基礎(chǔ)設(shè)施免受攻擊影響��。運安局、鐵路管理局�����、CISA和鐵路行業(yè)在制定這項安全指令期間完成的重大合作�����,也讓我們深受鼓舞�����?��!?
除了安全指令之外,客運和貨運鐵路承運人還可以獲取陸路運輸網(wǎng)絡(luò)安全資源工具包���,用于為員工少于1000人的陸路運輸運營商提供網(wǎng)絡(luò)風(fēng)險管理信息���。
工具包中的資料主要來自三大來源,包括美國國家標準與技術(shù)研究院(NIST)用于改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架�;旨在提升美國民眾對網(wǎng)絡(luò)威脅的理解、保障美國公眾網(wǎng)上安全的全國性公眾意識活動Stop.Think.Connect�����;以及負責(zé)改善國家網(wǎng)絡(luò)安全態(tài)勢、協(xié)調(diào)網(wǎng)絡(luò)信息共享并管理網(wǎng)絡(luò)風(fēng)險的美國計算機應(yīng)急準備小組���。
安全廠商GuidePoint Security的OT網(wǎng)絡(luò)安全高級顧問Chris Warner評論稱:“眾所周知�,鐵路行業(yè)的網(wǎng)絡(luò)安全資源一直比較有限��。這種有限性不僅體現(xiàn)在財務(wù)預(yù)算方面���,也體現(xiàn)在因缺乏知識淵博的員工而難以實施成熟網(wǎng)絡(luò)安全法規(guī)和零信任等現(xiàn)代安全方法上��?!?
Warner說�,“對鐵路運營商來說,網(wǎng)絡(luò)分段策略和控制要求將帶來巨大提升��,敦促他們不得不重新設(shè)計大部分控制系統(tǒng)���。這當(dāng)然是朝著正確方向邁出的重要一步���,但這條發(fā)展之路也不可能一帆風(fēng)順,意味著鐵路行業(yè)必須現(xiàn)代化��,必須擺脫舊系統(tǒng)并引入新的訪問控制方法?�!?
今年7月��,運安局修訂并重新發(fā)布了關(guān)于石油和天然氣管道所有者及運營商的網(wǎng)絡(luò)安全指令�。該指令將網(wǎng)絡(luò)安全要求的有效期延長了一年,并將以往的規(guī)定性措施調(diào)整為基于績效的措施��,希望借此達成關(guān)鍵網(wǎng)絡(luò)安全目標���。修訂后的指令將繼續(xù)努力幫助美國關(guān)鍵管道輸送運營商建立起網(wǎng)絡(luò)安全彈性。
