Ben Miller, een vice-president bij cyberbeveiligingsbedrijf Dragos, zei dat het bedrijf heeft gewerkt met pijplijnklanten terwijl ze zich aanpassen aan een veranderende regelgeving.
“We moedigen publiek-private samenwerking aan en gaan niet te snel te werk. Betrouwbaarheid en veiligheid staan voorop, en de industrie en hun faciliteiten zijn geen fluitje van een cent. We lopen het risico te veel aannames te doen, waardoor de voortgang en veiligheid van deze belangrijke systemen en omgevingen”, aldus Miller.
De regels lokten gemengde reacties uit van experts die zich afvroegen of organisaties konden voldoen aan de strenge nieuwe regelgeving.
“De beveiligingsvereisten die zijn vastgelegd in de nieuwe openbare TSA-beveiligingsrichtlijn zijn absoluut ambitieus. De meeste organisaties waarmee we tegenwoordig werken, kunnen niet aan deze vereisten voldoen, en waarschijnlijk ook niet de meeste federale overheidsinstanties”, zegt Jake Williams, CTO van BreachQuest.
“Alleen de DNS-bewakingsvereisten gaan veel verder dan waartoe de meeste organisaties tegenwoordig in staat zijn. Hoewel ze effectief zijn in het detecteren van inbreuken, zullen de inspanningen om dit soort vereisten te implementeren vrijwel zeker afleiden van belangrijkere en haalbare doelen zoals fundamentele IT/OT-netwerksegmentatie en monitoring.”
Chris Grove, een productevangelist bij Nozomi Networks en een expert in industriële cyberbeveiliging, zei dat het directoraat het voorbeeld volgt van vele andere pogingen om operationele technologieën te beveiligen door “een mix van preventie, detectie en veerkracht te bieden”.
Maar hij merkte op dat wanneer de aanbevelingen overlappen met operationele technologie, ze niet echt van toepassing zijn.
“Zelfs het patchen van systemen, MFA, biedt OT-operators een uitweg. Op andere gebieden is dat niet zo, zoals wekelijkse virusscans van OT-systemen. Het directoraat is hoogstaand en niet-specifiek genoeg dat het niet lijkt te zijn gericht op pijpleidingen, maar meer op OT of kritieke infrastructuur in het algemeen”, legt Grove uit.
“Veel operators, met name degenen die NERC-CIP nastreefden, zullen goed gepositioneerd zijn en zullen waarschijnlijk de vereisten in de richtlijn overtreffen. Op pagina 9, deel 3, is het een enorme uitdaging voor geconvergeerde omgevingen om opslag- en identiteitsarchieven tussen IT en OT te doorbreken. Op pagina 9 schrijft C.1.a ook voor dat geïnfecteerde apparatuur onmiddellijk van het netwerk wordt verwijderd en dat alle geïnfecteerde schijven worden uitgeschakeld, iets wat niet altijd mogelijk is in een OT-omgeving. Om deze richtlijn in context te plaatsen, zou het geen invloed hebben gehad op de Koloniaal pijpleidingincident, aangezien de exploitant beveiliging had op een hoger niveau dan waar de richtlijn naar streeft.”
Voormalig cyberbeveiligingsadviseur van het Amerikaanse ministerie van Defensie Padraic O'Reilly voegde toe dat de dagen van vrijwillige begeleiding voldoende waren in kritieke infrastructuur komen tot een einde.
Hij merkte op dat sommige organisaties, zoals de Metropolitan Transportation Authority van New York City, in orde zullen zijn met de nieuwe mandaten omdat ze al hebben geprobeerd de vrijwillige richtlijnen te implementeren.
“Maar we weten dat dit niet over de hele linie waar is, en terugdringen van de particuliere industrie, wanneer ze activa bezitten die van invloed zijn op het algemeen belang, luisteren terug naar de moord op de cyberbeveiligingswet van 2012,” O' Reilly vertelde ZDNet.
“Zelfs toen, in een veel eenvoudiger dreigingslandschap, probeerden Cyber Command en de NSA het belang van 'minimale beveiligingsnormen' uit te leggen. Maar de kwestie werd partijdig, en dat is echt jammer voor zaken die de nationale veiligheid betreffen.”
O'Reilly merkte op dat er waarschijnlijk meer industrie-ruzie zal zijn over specifieke vereisten, maar verscherpte het gedeelte met de titel , “Security Directive (SD) Pipeline-2021-02” — die zich richt op de belangrijkste elementen van het versterken van pijplijn-OT en IT tegen veel huidige exploits. De sectie kondigt ook effectief een einde aan aan een aantal vrijwillige richtlijnen voor de industrie.
Volgens O'Reilly lijken de termijnen voor het indienen van verklaringen (7, 30 en 180 dagen) allemaal “redelijk, zelfs als ze snelle actie vereisen”, en het vereisen van documentatie van naleving is een andere goede maatregel die in het document is opgenomen.
“Er zal waarschijnlijk een terugval in de industrie zijn omdat de commentaarperiode kort was, en er zijn enkele unieke overwegingen met betrekking tot patching en andere praktijken met betrekking tot operationele technologie. Maar zelfs daar is TSA voorzichtig geweest om een op risico's gebaseerde benadering toe te staan OT patchen, wat redelijk is”, voegde O'Reilly eraan toe.
“Het belangrijkste aspect van de richtlijn is dat cyberweerbaarheid niet langer vrijwillig is. Het zou een vergissing zijn geweest om pijpleidingnormen vrijwillig toe te staan. betere veiligheidspraktijken. Wat het algemeen belang betreft, is er een duidelijke behoefte aan toezicht, en alleen de federale regering kan dit effectief doen. We kunnen ons geen nieuwe aanval veroorloven, zoals die bij Colonial.'
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Data Management Security TV CXO-datacenters 