Republikanske ledere i det amerikanske senatet har gått hardt ut mot nye cybersikkerhetsforskrifter designet for å beskytte amerikanske jernbane- og flyplasssystemer.
De nye reglene ble overlevert tidligere denne måneden av hjemmesikkerhetssekretær Alejandro Mayorkas og vil bli administrert av Transportation Security Administration (TSA). Regelverket ble delvis foranlediget av et april-angrep på New York Citys Metropolitan Transportation Authority – et av de største transportsystemene i verden – og et 2020-angrep på Southeastern Pennsylvania Transportation Authority.
Men i et brev til David Pekoske, administrator for Transportation Security Administration, kritiserte fem senior amerikanske senatorer de nye reglene og hvordan de ble rullet ut.
Senatorene Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alle en del av komiteen for handel, vitenskap og transport – kritiserte bruken av nødmyndighet for å presse reglene ut, og stilte spørsmål ved om de var “passende fraværende en umiddelbar trussel.”
Senatorene oppfordret Pekoske til å “revurdere” reglene, og hevdet at “selve viktigheten av effektiv cybersikkerhet for kritisk infrastruktur, som jernbane-, jernbane- og luftfartssystemer, fraråder å handle forhastet i fravær av en genuin nødsituasjon.”
Brevet sier at de “preskriptive kravene” rullet ut av TSA “kan være i utakt med gjeldende praksis” og kan “begrense berørte industriers evne til å reagere på trusler i utvikling, og dermed redusere sikkerheten.” De hevdet også at reglene vil pålegge “unødvendige driftsforsinkelser i en tid med enestående overbelastning i landets forsyningskjede.”
De republikanske lederne hevdet at landet ikke er i en nødsituasjon fordi det har gått fem måneder siden løsepenge-angrepet som stengte Colonial Pipeline og etterlot betydelige deler av østkysten i en ukes kamp etter bensin.
De la til at TSA tok feil ved å tvinge reglene inn på industrien og ikke vedta “en mer samarbeidende tilnærming” med bransjeeksperter før de utstedte dem.
“I stedet for foreskrivende krav som kanskje ikke forbedrer evnen til å møte fremtidige trusler, bør TSA vurdere ytelsesstandarder som setter mål for cybersikkerhet samtidig som de gjør det mulig for bedrifter å oppfylle disse målene,” skrev senatorene.
“Hvis det blir tatt en beslutning om å fortsette med spesifikke mandater, vil varsel- og kommentarprosessen i det minste tillate gjennomtenkt vurdering av industripraksis og bekymringer.”
Senatorene hevdet i tillegg at gjeldende praksis “fungerer bra. “
Kinesiske statsstøttede hackere ble involvert i angrepet på New York Citys Metropolitan Transportation Authority i april, som skremte byens tjenestemenn og føderale myndigheter.
Angriperne kom ikke langt nok inn i systemet til å forårsake skade, men de kunne lett ha trukket seg ut på egenhånd, ifølge kilder som snakket med The New York Times på den tiden. Byens tjenestemenn er fortsatt bekymret for at hackerne kan ha forlatt et antall bakdører i systemet som ville tillate dem å komme seg inn igjen.
De som støtter TSA-regelverket noterte også et løsepenge-angrep på fergetjenester til Cape Cod tidligere i år.
Svarene på brevet varierte fra de som stilltiende gikk med på at de nye reglene ble presset ut på en hardhendt måte til andre som mente landets nettsikkerhetsbeskyttelse for kritiske bransjer fortsetter å være farlig slapp.
Den amerikanske representanten Jim Langevin – medgründer av Congressional Cybersecurity Caucus og en kommissær for kongressens Cyberspace Solarium Commission – kritiserte brevet, og tok spesielt hensyn til ideen om at landets gjentatte cybersikkerhetsfeil er ikke en umiddelbar trussel.
– Mine republikanske kolleger må få hodet opp av sanden hvis de tror løsepengevare og andre cyberinntrengninger ikke representerer en «umiddelbar trussel», sa Langevin til ZDNet.
“Disse nye TSA-forskriftene vil kreve at jernbane- og flyplassoperatører oppretter responsplaner for hendelser, noe de allerede burde gjøre. Det amerikanske folket stoler på disse operatørene, så CISA må vite når de har blitt truffet av en cyberhendelse. Dette er minimumsbestemmelsene og har ventet lenge.”
Bransjeeksperter som BreachQuest CTO Jake Williams bemerket at enhver cybersikkerhetsforskrift medfører muligheten for å skape operasjonelle problemer, spesielt når de er utarbeidet av de uten erfaring i det operasjonelle domenet.
“Vi vet ikke hva veiledningen vil diktere ennå, så det er vanskelig å kritisere selve veiledningen. Imidlertid er den spesifikke kritikken fra Sen Wicker og andre svært gyldig,” sa Williams.
“TSA bruker nødstiltak for å vedta nye forskrifter og omgå den normale tilbakemeldingsprosessen. Det er rimelig sannsynlig at uten tilbakemeldingsprosessen i bruk at TSA utilsiktet vil introdusere driftsproblemer med sine nye forskrifter.”
Sikkerhet
Hackere skjuler sin ondsinnede JavaScript-kode med et vanskelig triks. Dette nye phishing-angrepet inneholder en våpenbeskyttet Excel-fil. Har noen andre i all hemmelighet tilgang til iPhone eller iPad? Supply chain attacks er hackers nye favorittvåpen Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene
Relaterte emner:
Government – US Security TV Data Management CXO Data Centers 