Ben Miller, vicepræsident i cybersikkerhedsfirmaet Dragos, sagde, at virksomheden har arbejdet med rørledningskunder, da de tilpasser sig et ændret lovgivningsmiljø.
“Vi tilskynder til offentlig-privat samarbejde og ikke bevæger os for hurtigt. Pålidelighed og sikkerhed er i højsædet, og industrien og deres faciliteter er ikke cookie-cutter. Vi risikerer at gøre for mange antagelser og i sidste ende bremse fremskridt og sikkerhed for disse vigtige systemer og miljøer, “sagde Miller.
Reglerne gav blandede svar fra eksperter, der stillede spørgsmålstegn ved, om nogen organisationer kunne leve op til de strenge nye regler.
“Sikkerhedskravene i det nyligt offentlige TSA -sikkerhedsdirektiv er absolut ambitiøse. De fleste organisationer, vi arbejder med i dag, kan ikke opfylde disse krav, og det kan sandsynligvis heller ikke de fleste føderale regeringsorganer,” siger Jake Williams, CTO for BreachQuest.
“DNS -overvågningskravene alene er langt ud over, hvad de fleste organisationer i dag er i stand til. Selvom de er effektive til at opdage indtrængen, vil indsats for at implementere denne form for krav næsten helt sikkert distrahere fra vigtigere og opnåelige mål som grundlæggende Segmentering og overvågning af IT/OT -netværk. “
Chris Grove, produktevangelist hos Nozomi Networks og ekspert i industriel cybersikkerhed, sagde, at direktoratet følger mange andre forsøg på at sikre operationelle teknologier ved at “tilbyde en blanding af forebyggelse, afsløring og modstandsdygtighed.”
Men han bemærkede, at når anbefalingerne overlapper driftsteknologi, gælder de faktisk ikke.
“Selv patching-systemer, MFA, giver OT-operatører en vej ud. På andre områder kan det ikke lide ugentlig virusscanning af OT-systemer. Direktoratet er på højt niveau og ikke-specifikt nok til, at det ikke ser ud til at være rettet mod rørledninger, men mere om OT eller kritisk infrastruktur generelt, “forklarede Grove.
“Mange operatører, især dem, der forfulgte NERC-CIP, vil blive godt positioneret, hvilket sandsynligvis overgår kravene i direktivet. På side 9, del 3, er det en kæmpe udfordring for konvergerede miljøer at bryde lagrings- og identitetslagre mellem IT og OT. På side 9 pålægger C.1.a også hurtig fjernelse fra netværket og deaktivering af drev af inficeret udstyr, noget der ikke altid er muligt i et OT -miljø. For at sætte dette direktiv i en kontekst ville det ikke have haft nogen indvirkning på Kolonial pipeline -hændelse, da operatøren havde sikkerhed på et højere niveau, end hvad direktivet sigter mod. “
Tidligere amerikansk cybersikkerhedsrådgiver i det amerikanske forsvarsministerium, Padraic O'Reilly, tilføjede, at dagene med frivillig vejledning var tilstrækkelige i kritisk infrastruktur er ved at være slut.
Han bemærkede, at nogle organisationer, som New York Citys Metropolitan Transportation Authority, vil have det godt med de nye mandater, fordi de allerede har forsøgt at implementere de frivillige retningslinjer.
“Men vi ved, at det ikke er sandt overalt, og tilbageslag fra den private industri, når de besidder aktiver, der påvirker det offentlige gode, lytter tilbage til drabet på cybersikkerhedsloven i 2012,” O ' Reilly fortalte ZDNet.
“Selv da, i et meget enklere trusselslandskab, forsøgte Cyber Command og NSA at forklare betydningen af 'minimumssikkerhedsstandarder'. Men spørgsmålet blev partisk, og det er virkelig for dårligt i sager, der vedrører national sikkerhed. “
O'Reilly bemærkede, at der sandsynligvis vil være mere industri, der kæmper om specifikke krav, men finpudset i afsnittet med titlen , “Sikkerhedsdirektiv (SD) Pipeline-2021-02”-som fokuserer på nøgleelementerne i hærdning af rørledning OT og IT mod mange nuværende bedrifter. Afsnittet annoncerer også effektivt en afslutning på nogle frivillige retningslinjer for branchen.
Ifølge O'Reilly virker tidsfristerne for at indsende (7, 30 og 180 dage) erklæringer alle “rimelige, selvom de kræver hurtig handling”, og at kræve dokumentation for overholdelse er en anden god foranstaltning inkluderet i dokumentet.
“Der vil sandsynligvis være industriens tilbagegang, fordi kommentarperioden var kort, og der er nogle unikke overvejelser med hensyn til patching og anden praksis, hvad angår operationel teknologi. Men selv der har TSA været omhyggelig med at give mulighed for en risikobaseret tilgang til lappe OT, hvilket er ganske rimeligt, “tilføjede O'Reilly.
“Det vigtigste aspekt af direktivet er, at cyber -robusthed ikke længere er frivillig. Det var uden tvivl en fejl at tillade, at rørledningsstandarder var frivillige. Det er uomtvisteligt, at de kritiske infrastruktursektorer (såsom finans og el) generelt er meget regulerede bedre sikkerhedspraksis på plads. Hvad angår det offentlige gode, er der et klart behov for tilsyn, og kun forbundsregeringen kan gøre dette effektivt. Vi har dårligt råd til endnu et angreb som det, der ramte kolonialen. ”
Sikkerhed
Fortinet, Shopify rapporterer problemer efter root -CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Datahåndtering Sikkerhed TV CXO datacentre 