Ben Miller, visepresident i cybersikkerhetsfirmaet Dragos, sa at selskapet har jobbet med rørledningskunder når de tilpasser seg et regulatorisk miljø i endring.
“Vi oppfordrer offentlig-privat samarbeid og ikke beveger oss for raskt. Pålitelighet og sikkerhet er av største viktighet, og industrien og deres fasiliteter er ikke cookie-cutter. Vi risikerer å gjøre for mange forutsetninger, og til slutt bremse fremdriften og sikkerheten til disse viktige systemer og miljøer, “sa Miller.
Reglene fikk blandede svar fra eksperter som satte spørsmålstegn ved om noen organisasjoner kunne leve opp til de strenge nye forskriftene.
“Sikkerhetskravene i det nylig offentliggjorte TSA -sikkerhetsdirektivet er definitivt ambisiøse. De fleste organisasjoner vi jobber med i dag kan ikke oppfylle disse kravene, og det kan heller ikke de fleste føderale myndigheter gjøre,” sa Jake Williams, CTO for BreachQuest.
“Kravene til DNS -overvåking alene er langt utover det de fleste organisasjoner i dag er i stand til. Selv om de er effektive for å oppdage inntrengninger, vil innsats for å implementere denne typen krav nesten helt sikkert distrahere fra mer viktige og oppnåelige mål som grunnleggende Segmentering og overvåking av IT/OT -nettverk. “
Chris Grove, produktevangelist i Nozomi Networks og ekspert på industriell cybersikkerhet, sa at direktoratet følger mange andre forsøk på å sikre driftsteknologi ved å “tilby en blanding av forebygging, oppdagelse og spenst.”
Men han bemerket at når anbefalingene overlapper operasjonell teknologi, gjelder de faktisk ikke.
“Selv oppdateringssystemer, MFA, gir OT-operatører en vei ut. På andre områder liker den ikke ukentlig virusscanning av OT-systemer. Direktoratet er på høyt nivå og uspesifikt nok til at det ikke ser ut til å være rettet mot rørledninger, men mer om OT eller kritisk infrastruktur generelt, “forklarte Grove.
“Mange operatører, spesielt de som forfulgte NERC-CIP, vil være godt posisjonert, og trolig overgå kravene i direktivet. På side 9, del 3, er det en stor utfordring for konvergerte miljøer å bryte lagrings- og identitetslagre mellom IT og OT. På side 9 pålegger C.1.a også hurtig fjerning fra nettverket og deaktivering av stasjoner av infisert utstyr, noe som ikke alltid er mulig i et OT -miljø. For å sette dette direktivet i sammenheng, ville det ikke ha hatt noen innvirkning på Kolonial pipeline -hendelse, ettersom operatøren hadde sikkerhet på et høyere nivå enn det direktivet tar sikte på. “
Tidligere amerikansk sikkerhetsrådgiver for det amerikanske forsvarsdepartementet Padraic O'Reilly la til at dagene med frivillig veiledning var tilstrekkelig i kritisk infrastruktur nærmer seg slutten.
Han bemerket at noen organisasjoner, som New York Citys Metropolitan Transportation Authority, vil ha det bra med de nye mandatene fordi de allerede har prøvd å implementere de frivillige retningslinjene.
“Men vi vet at det ikke er sant over hele linjen, og tilbakeslag fra privat industri, når de holder eiendeler som påvirker allmennheten, lytter tilbake til drapet på cybersikkerhetsloven fra 2012,” O ' Reilly fortalte ZDNet.
“Selv da, i et mye enklere trussellandskap, prøvde Cyber Command og NSA å forklare viktigheten av” minimumssikkerhetsstandarder. ” Men saken ble partisk, og det er virkelig for ille i saker som angår nasjonal sikkerhet. “
O'Reilly bemerket at det sannsynligvis vil være mer industri som krangler om spesifikke krav, men finpusset på avsnittet med tittelen , “Sikkerhetsdirektivet (SD) Pipeline-2021-02”-som fokuserer på de viktigste elementene i herding av rørledningen OT og IT mot mange nåværende utnyttelser. Seksjonen kunngjør effektivt en slutt på noen frivillige retningslinjer for bransjen.
I følge O'Reilly virker tidslinjene for å sende inn (7, 30 og 180 dager) uttalelser alle “rimelige, selv om de krever rask handling”, og det er et annet godt tiltak som krever dokumentasjon om samsvar.
“Det vil trolig være tilbakeslag i bransjen fordi kommentarperioden var kort, og det er noen unike hensyn når det gjelder oppdatering og annen praksis når det gjelder operativ teknologi. Men selv der har TSA vært nøye med å tillate en risikobasert tilnærming til lapper OT, noe som er ganske rimelig, “la O'Reilly til.
“Det viktigste aspektet ved direktivet er at nettmotstandsevne ikke lenger er frivillig. Det er uten tvil mulig å la rørledningsstandarder være frivillige. Det er uomtvistelig at de kritiske infrastruktursektorene (som finans og elektrisitet) generelt har mye bedre sikkerhetspraksis på plass. Når det gjelder det offentlige gode, er det et klart behov for tilsyn, og bare den føderale regjeringen kan gjøre dette effektivt. Vi har dårlig råd til et nytt angrep som det som rammet kolonialen. ”
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned når hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 