Ben Miller, vice vd på cybersäkerhetsföretaget Dragos, sa att företaget har arbetat med rörledningskunder när de anpassar sig till en förändrad lagstiftningsmiljö.
“Vi uppmuntrar offentligt-privat samarbete och går inte för snabbt. Tillförlitlighet och säkerhet är av största vikt, och industrin och deras anläggningar är inte kakskärare. Vi riskerar att göra för många antaganden, vilket i slutändan bromsar framsteg och säkerhet för dessa viktiga system och miljöer, säger Miller.
Reglerna gav blandade svar från experter som ifrågasatte om någon organisation kunde leva upp till de stränga nya bestämmelserna.
“Säkerhetskraven i det nyligen offentliggjorda TSA -säkerhetsdirektivet är definitivt ambitiösa. De flesta organisationer som vi arbetar med idag kan inte uppfylla dessa krav, och det kan inte heller de flesta federala myndigheter,” säger Jake Williams, CTO för BreachQuest.
“DNS -övervakningskraven ensamma är långt utöver vad de flesta organisationer idag kan. Även om de är effektiva för att upptäcka intrång, kommer ansträngningar för att genomföra denna typ av krav nästan säkert distrahera från viktigare och uppnåeliga mål som grundläggande Segmentering och övervakning av IT/OT -nätverk. “
Chris Grove, produktevangelist på Nozomi Networks och expert på industriell cybersäkerhet, säger att direktoratet följer många andra försök att säkra operativ teknik genom att “tillhandahålla en blandning av förebyggande, upptäckt och motståndskraft.”
Men han noterade att när rekommendationerna överlappar varandra med operativ teknik, gäller de faktiskt inte.
“Till och med patcharingssystem, MFA, tillåter OT-operatörer en utväg. På andra områden gillar det inte veckovis virussökning av OT-system. Direktoratet är tillräckligt högt och icke-specifikt så att det inte verkar vara riktat mot rörledningar, men mer om OT eller kritisk infrastruktur i allmänhet, “förklarade Grove.
“Många operatörer, särskilt de som bedrev NERC-CIP, kommer att vara väl positionerade, vilket troligen överträffar kraven i direktivet. På sidan 9, del 3, är det en stor utmaning för konvergerade miljöer att bryta lagrings- och identitetsbutiker mellan IT och OT. På sidan 9, C.1.a krävs också att man snabbt tar bort från nätverket och inaktiverar enheter som är infekterade, något som inte alltid är möjligt i en OT -miljö. För att sätta detta direktiv i sitt sammanhang hade det inte haft någon inverkan på Colonial Pipeline incident, eftersom operatören hade säkerhet på en högre nivå än vad direktivet syftar till. “
Tidigare amerikanska försvarsdepartementets cybersäkerhetsrådgivare Padraic O'Reilly tillade att dagarna med frivillig vägledning är tillräckliga i kritisk infrastruktur håller på att ta slut.
Han noterade att vissa organisationer, som New York Citys Metropolitan Transportation Authority, kommer att klara sig med de nya mandaten eftersom de redan har försökt att genomföra de frivilliga riktlinjerna.
“Men vi vet att det inte är sant över hela linjen, och avstängning från den privata industrin, när de innehar tillgångar som påverkar det allmännas bästa, lyssnar tillbaka på dödandet av cybersäkerhetslagen 2012,” O ' Reilly berättade för ZDNet.
“Redan då, i ett mycket enklare hotlandskap, försökte Cyber Command och NSA förklara vikten av” minimisäkerhetsstandarder “. Men frågan blev partisk, och det är verkligen för dåligt i frågor som rör nationell säkerhet. “
O'Reilly noterade att det sannolikt kommer att bli mer bransch som bråkar om specifika krav, men hon finslipade i avsnittet med titeln , “Säkerhetsdirektivet (SD) Pipeline-2021-02”-som fokuserar på nyckelelementen för att härda rörledningens OT och IT mot många nuvarande exploater. Avsnittet meddelar också ett effektivt slut på några frivilliga riktlinjer för branschen.
Enligt O'Reilly verkar tidsfristerna för att skicka (7, 30 och 180 dagar) uttalanden alla “rimliga även om de kräver snabba åtgärder”, och att kräva dokumentation av överensstämmelse är en annan bra åtgärd som ingår i dokumentet.
“Det kommer sannolikt att bli industrins pushback eftersom kommentarperioden var kort, och det finns några unika överväganden med avseende på patchar och andra metoder när det gäller operativ teknik. Men även där har TSA varit noga med att möjliggöra ett riskbaserat tillvägagångssätt för att patch OT, vilket är ganska rimligt, “tillade O'Reilly.
“Den viktigaste aspekten av direktivet är att cyberresiliens inte längre är frivillig. Det var utan tvekan tillåtet att tillåta rörledningsstandarder att vara frivilliga. Det är tveklöst att de kritiska infrastruktursektorerna (som finans och el) som regleras i allmänhet har mycket bättre säkerhetspraxis på plats. När det gäller det allmänna bästa finns det ett tydligt behov av tillsyn, och bara den federala regeringen kan göra detta effektivt. Vi har dåligt råd med en annan attack som den som drabbade kolonialen. ”
Säkerhet
Fortinet, Shopify rapporterar problem efter root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Data Management Security TV CXO-datacenter 