Republikanska ledare i den amerikanska senaten har uttalat sig hårt mot nya cybersäkerhetsbestämmelser utformade för att skydda amerikanska järnvägs- och flygplatssystem.
De nya reglerna meddelades tidigare denna månad av hemlandssäkerhetssekreteraren Alejandro Mayorkas och kommer att hanteras av Transportation Security Administration (TSA). Reglerna föranleddes delvis av en aprilattack mot New York Citys Metropolitan Transportation Authority – ett av de största transportsystemen i världen – och en attack 2020 mot Southeastern Pennsylvania Transportation Authority.
Men i ett brev till David Pekoske, administratör för Transportation Security Administration, kritiserade fem seniora amerikanska senatorer de nya reglerna och hur de rullades ut.
Senatorerna Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alla en del av kommittén för handel, vetenskap och transport – kritiserade användningen av nödbefogenheter för att pressa ut reglerna och ifrågasatte om de var “lämpliga frånvarande” omedelbart hot.”
Senatorerna uppmanade Pekoske att “ompröva” reglerna och hävdade att “själva betydelsen av effektiv cybersäkerhet för kritisk infrastruktur, såsom järnvägs-, järnvägstransit- och flygsystem, avråder från att agera skyndsamt i frånvaro av en verklig nödsituation.”
Brevet säger att de “preskriptiva kraven” som rullas ut av TSA “kan vara i otakt med nuvarande praxis” och kan “begränsa berörda industriers förmåga att reagera på föränderliga hot, och därigenom minska säkerheten.” De hävdade också att reglerna kommer att innebära “onödiga förseningar i drift vid en tid av oöverträffad trängsel i landets leveranskedja.”
De republikanska ledarna hävdade att landet inte är i en nödsituation eftersom det har gått fem månader sedan ransomware-attacken som stängde ner Colonial Pipeline och lämnade betydande delar av östkusten i en veckolång kamp efter bensin.
De tillade att TSA gjorde fel när de tvingade reglerna på branschen och inte antog “en mer samarbetsstrategi” med branschexperter innan de utfärdade dem.
“Istället för föreskrivande krav som kanske inte förbättrar förmågan att hantera framtida hot, bör TSA överväga prestandastandarder som sätter mål för cybersäkerhet samtidigt som de gör det möjligt för företag att uppfylla dessa mål”, skrev senatorerna.
“Om man beslutar sig för att fortsätta med specifika mandat, skulle meddelande- och kommentarsprocessen åtminstone tillåta eftertänksamma överväganden av branschpraxis och problem.”
Senatorerna hävdade dessutom att nuvarande praxis “fungerar bra. “
Kinesiska statsstödda hackare var inblandade i attacken i april mot New York Citys Metropolitan Transportation Authority, som oroade stadstjänstemän och federala myndigheter.
Angriparna kom inte tillräckligt långt in i systemet för att orsaka skada men kunde lätt ha, effektivt dra sig ut på egen hand, enligt källor som pratade med The New York Times vid den tiden. Stadstjänstemän är fortfarande oroade över att hackarna kan ha lämnat hur många bakdörrar som helst i systemet som skulle göra det möjligt för dem att enkelt ta sig in igen.
De som stöder TSA-reglerna noterade också en attack mot ransomware mot färjetjänster till Cape Cod tidigare i år.
Svaren på brevet sträckte sig från de som underförstått gick med på att de nya reglerna trycktes ut på ett hårt sätt till andra som tyckte att landets cybersäkerhetsskydd för kritiska branscher fortsätter att vara farligt slappa.
USA:s rep. Jim Langevin – en av grundarna av Congressional Cybersecurity Caucus och en kommissionär för kongressens Cyberspace Solarium Commission – kritiserade brevet och tog särskild hänsyn till tanken att landets upprepade cybersäkerhetsbrister är inte ett omedelbart hot.
“Mina republikanska kollegor måste få upp huvudet ur sanden om de tror att ransomware och andra cyberintrång inte utgör ett “omedelbart hot”, säger Langevin till ZDNet.
“De här nya TSA-föreskrifterna kommer att kräva att järnvägs- och flygplatsoperatörer skapar hanteringsplaner för incidenter, vilket de redan borde göra. Det amerikanska folket förlitar sig på dessa operatörer, så CISA måste veta när de har drabbats av en cyberincident. Det här är de absoluta minimireglerna och är sedan länge försenade.”
Branschexperter som BreachQuest CTO Jake Williams noterade att varje cybersäkerhetsförordning medför möjligheten att skapa operativa frågor, särskilt när de utarbetas av personer utan erfarenhet inom det operativa området.
“Vi vet inte vad vägledningen dikterar ännu, så det är svårt att kritisera själva vägledningen. Den specifika kritik som Sen Wicker och andra tar ut är dock mycket giltig”, sade Williams.
“TSA använder nödåtgärder för att anta nya regler samtidigt som den kringgår den normala återkopplingsprocessen. Det är rimligtvis troligt att utan återkopplingsprocessen som används att TSA oavsiktligt kommer att införa operativa problem med sina nya regler.”
Säkerhet
Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick. Den här nya nätfiske-attacken innehåller en beväpnad Excel-fil. Har någon annan i hemlighet tillgång till din iPhone eller iPad? Supply chain attacker är hackarens nya favoritvapen Cybersecurity 101: Protect your privacy from hackers, spies, the government
Relaterade ämnen:
Regering – USA Security TV Data Management CXO Data Centers 