Republikanske ledere i det amerikanske senat er gået hårdt ud mod nye cybersikkerhedsregler designet til at beskytte amerikanske jernbane- og lufthavnssystemer.
De nye regler blev afgivet tidligere på måneden af ministeren for hjemmesikkerhed, Alejandro Mayorkas, og vil blive administreret af Transportation Security Administration (TSA). Reglerne blev til dels foranlediget af et angreb i april på New York Citys Metropolitan Transportation Authority – et af de største transportsystemer i verden – og et angreb i 2020 på Southeastern Pennsylvania Transportation Authority.
Men i et brev til David Pekoske, administrator for Transportation Security Administration, kritiserede fem senior amerikanske senatorer de nye regler, og hvordan de blev udrullet.
Senatorerne Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alle en del af Udvalget for Handel, Videnskab og Transport – kritiserede brugen af nødbeføjelser til at skubbe reglerne ud og satte spørgsmålstegn ved, om de var “passende fraværende og umiddelbar trussel.”
Senatorerne opfordrede Pekoske til at “genoverveje” reglerne og argumenterede for, at “selve vigtigheden af effektiv cybersikkerhed for kritisk infrastruktur, såsom jernbane-, jernbanetransit- og luftfartssystemerne, fraråder at handle overilet i fravær af en ægte nødsituation.”
Brevet siger, at de “præskriptive krav”, der er udrullet af TSA, “kan være ude af trit med nuværende praksis” og kan “begrænse berørte industriers evne til at reagere på trusler under udvikling og derved mindske sikkerheden.” De hævdede også, at reglerne vil pålægge “unødvendige driftsforsinkelser på et tidspunkt med hidtil uset trængsel i landets forsyningskæde.”
De republikanske ledere hævdede, at landet ikke er i en nødsituation, fordi det er fem måneder siden ransomware-angrebet, der lukkede Colonial Pipeline og efterlod betydelige dele af østkysten i en ugelang kamp for benzin.
De tilføjede, at TSA tog fejl ved at tvinge reglerne ind på industrien og ikke indførte “en mere kollaborativ tilgang” med industrieksperter, før de udstedte dem.
“I stedet for forskriftsmæssige krav, der muligvis ikke forbedrer mulighederne for at håndtere fremtidige trusler, bør TSA overveje præstationsstandarder, der sætter mål for cybersikkerhed, samtidig med at virksomhederne kan nå disse mål,” skrev senatorerne.
“Hvis der træffes en beslutning om at fortsætte med specifikke mandater, vil meddelelses- og kommentarprocessen i det mindste give mulighed for gennemtænkte overvejelser om industriens praksis og bekymringer.”
Senatorerne hævdede desuden, at den nuværende praksis “fungerer godt. “
Kinesiske statsstøttede hackere var impliceret i angrebet i april på New York Citys Metropolitan Transportation Authority, som foruroligede embedsmænd og føderale myndigheder.
Angriberne kom ikke langt nok ind i systemet til at forårsage skade, men de kunne nemt have trukket sig ud på egen hånd, ifølge kilder, der talte til The New York Times på det tidspunkt. Byens embedsmænd er stadig bekymrede over, at hackerne kan have efterladt et hvilket som helst antal bagdøre i systemet, som ville give dem mulighed for nemt at komme ind igen.
Dem, der bakker op om TSA -reglerne, bemærkede også et ransomware -angreb på færgetjenester til Cape Cod tidligere på året.
Svarene på brevet spændte fra dem, der stiltiende var enige om, at de nye regler blev skubbet ud på en hårdhændet måde, til andre, der mente, at landets cybersikkerhedsbeskyttelse for kritiske industrier fortsat er farligt slap.
Den amerikanske rep. Jim Langevin – medstifter af Congressional Cybersecurity Caucus og en kommissær for Congress's Cyberspace Solarium Commission – kritiserede brevet og tog særligt hensyn til tanken om, at landets gentagne cybersikkerhedsfejl er ikke en umiddelbar trussel.
“Mine republikanske kolleger er nødt til at få hovedet op af sandet, hvis de mener, at ransomware og andre cyberindtrængen ikke repræsenterer en 'umiddelbar trussel',” sagde Langevin til ZDNet.
“Disse nye TSA-bestemmelser vil kræve, at jernbane- og lufthavnsoperatører udarbejder hændelsesplaner, hvilket de allerede burde gøre. Det amerikanske folk stoler på disse operatører, så CISA skal vide, hvornår de er blevet ramt ved en cyberhændelse. Disse er minimumsbestemmelserne og er for længst påkrævet.”
Brancheeksperter som BreachQuest CTO Jake Williams bemærkede, at enhver cybersikkerhedsforordning medfører muligheden for at skabe operationelle problemer, især når de er udarbejdet af dem uden erfaring i det operationelle domæne.
“Vi ved ikke, hvad vejledningen vil diktere endnu, så det er svært at kritisere selve vejledningen. Men den specifikke kritik, som Sen Wicker og andre har fremført, er meget gyldig,” sagde Williams.
“TSA bruger nødforanstaltninger til at indføre nye regler, mens de omgår den normale feedback-proces. Det er rimelig sandsynligt, at uden feedback-processen i brug, vil TSA utilsigtet introducere driftsproblemer med deres nye regler.”
Sikkerhed
Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick. Dette nye phishing-angreb indeholder en våbenbaseret Excel-fil. Har en anden i hemmelighed adgang til din iPhone eller iPad? Supply chain -angreb er hackers nye yndlingsvåben Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Government – US Security TV Data Management CXO Data Centers 