Jonathan Greig Bidragende skribent
Jonathan Greig er journalist baseret i New York City. Han vendte for nylig tilbage til USA efter at have rapporteret fra Sydafrika, Jordan og Cambodja siden 2013.
Fuld bio den 6. december 2021 | Emne: Sikkerhed
Torsdag udgav Department of Homeland Security (DHS) nye regler for USA's fragtjernbane- og passagerjernbanetransitindustri. Reglerne gør det obligatorisk for virksomheder at have en cybersikkerhedskoordinator, rapportere cybersikkerhedshændelser til CISA, gennemføre en selvevaluering af cybersikkerhed og oprette en responsplan for cyberhændelser.
DHS embedsmænd sagde gentagne gange, at de nye regler blev lavet efter samråd med industrieksperter og møder med jernbaneselskaber. De tilføjede, at reglerne blev skubbet af Transportation Security Administration (TSA), efter at CISA informerede dem om legitime trusler, som jernbaneindustrien står over for.
Den offentlige myndighed har i år været udsat for modreaktioner fra virksomheder i en række forskellige brancher – såvel som højtstående republikanske lovgivere – for cybersikkerhedsregler, som nogle har kaldt besværlige og unødvendige.
I oktober kritiserede senatorerne Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alle republikanske ledere i udvalget for handel, videnskab og transport – DHS' brug af nødbeføjelser til at presse nye regler for amerikanske jernbaner og lufthavne. systemer, der satte spørgsmålstegn ved, om de var “passende uden en umiddelbar trussel.”
De republikanske lovgivere sagde, at de “foreskrivende krav” udrullet af TSA “kan være ude af trit med nuværende praksis” og kan “begrænse berørte industriers evne til at reagere på nye trusler og derved mindske sikkerheden.” De hævdede også, at reglerne vil pålægge “unødvendige driftsforsinkelser på et tidspunkt med hidtil uset overbelastning i landets forsyningskæde.”
“I stedet for præskriptive krav, der måske ikke forbedrer mulighederne for at adressere fremtidige trusler, bør TSA overveje præstationsstandarder, der sætter mål for cybersikkerhed, mens de gør det muligt for virksomheder at opfylde disse mål,” skrev senatorerne. “Hvis der træffes en beslutning om at fortsætte med specifikke mandater, vil meddelelses- og kommentarprocessen i det mindste give mulighed for eftertænksom overvejelse af industriens praksis og bekymringer.”
Senatorerne hævdede desuden, at den nuværende praksis “fungerer godt.”
Da mange cybersikkerhedseksperter, der er involveret i jernbaneindustrien, blev spurgt om de seneste regler udstedt af TSA for jernbaneindustrien udtrykte bekymring for, hvordan de nye regler ville fungere i praksis.
Jake Williams, CTO hos BreachQuest, sagde til ZDNet, at på et højt niveau virker direktiverne fornuftige. Men et nærmere kig på de nye regler rejste spørgsmål om, hvordan CISA ville håndtere den syndflod af hændelsesrapportering, som nu er påkrævet.
“Afsnit B.2.b i Enhancing Rail Cybersecurity-direktivet pålægger rapportering af opdagelsen af ondsindet software på ethvert it-system inden for 24 timer efter opdagelsen. Det er svært at forestille sig, hvordan TSA vil drage fordel af at vide om enhver ondsindet softwareopdagelse på ethvert it-system,” sagde Williams.
“Tattet for pålydende ville jernbaneoperatører skulle rapportere hvert stykke råvare-malware, der opdages i miljøet, selvom antivirus eller EDR forhindrede, at malware nogensinde blev eksekveret. Selv hvis jernbaneoperatører var korrekt bemandet til at oprette disse rapporter, TSA vil sandsynligvis gå glip af betydelige rapporter begravet i støjen. De besværlige rapporteringskrav vil sandsynligvis reducere jernbanesikkerheden, i det mindste på kort sigt, da underbemandede teams dedikerer ressourcer til rapportering frem for netværkssikkerhed.”
Williams tilføjede, at disse politiske sprogproblemer opdages typisk i løbet af den offentlige kommentarperiode, som TSA valgte at give afkald på.
“Der er sandsynligvis andre væsentlige problemer i de to jernbanecybersikkerhedsdirektiver udgivet af TSA uden en offentlig revisionsperiode,” bemærkede Williams.
Ron Brash, vicepræsident hos ICS/OT-softwaresikkerhedsfirmaet aDolus Technology, gentog Williams' bekymringer om rapporteringskravene og forklarede, at de fleste organisationer mangler færdigheder og ressourcer til at overholde.
Regering – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre