Republikeinse leiders in de Amerikaanse senaat hebben zich hard uitgesproken tegen nieuwe cyberbeveiligingsregels die zijn ontworpen om Amerikaanse spoorweg- en luchthavensystemen te beschermen.
De nieuwe regels zijn eerder deze maand uitgevaardigd door minister van Binnenlandse Veiligheid, Alejandro Mayorkas, en zullen worden beheerd door de Transportation Security Administration (TSA). De regelgeving werd gedeeltelijk ingegeven door een aanval in april op de Metropolitan Transportation Authority in New York City – een van de grootste transportsystemen ter wereld – en een aanval in 2020 op de Southeastern Pennsylvania Transportation Authority.
Maar in een brief aan David Pekoske, beheerder van de Transportation Security Administration, bekritiseerden vijf hooggeplaatste Amerikaanse senatoren de nieuwe regels en hoe ze werden ingevoerd.
Senatoren Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – allemaal lid van de commissie voor handel, wetenschap en transport – verwierpen het gebruik van noodautoriteiten om de regels te verdringen en vroegen zich af of ze “gepast waren zonder een onmiddellijke dreiging.”
De senatoren drongen er bij Pekoske op aan om de regels te “heroverwegen”, met het argument dat “het zeer belang van effectieve cyberbeveiliging voor kritieke infrastructuur, zoals het spoor, het spoorvervoer en de luchtvaartsystemen, afraden om te handelen overhaast in afwezigheid van een echte noodsituatie.”
De brief zegt dat de “voorschrijvende vereisten” die door TSA zijn uitgerold “misschien niet in de pas lopen met de huidige praktijken” en “het vermogen van de getroffen industrieën om te reageren op zich ontwikkelende bedreigingen kunnen beperken, waardoor de veiligheid wordt verminderd”. Ze beweerden ook dat de regels “onnodige vertragingen bij de operatie zullen opleggen in een tijd van ongekende congestie in de toeleveringsketen van het land.”
De Republikeinse leiders voerden aan dat het land zich niet in een noodsituatie bevindt, omdat het vijf maanden geleden is sinds de ransomware-aanval die de koloniale pijpleiding heeft stilgelegd en belangrijke delen van de oostkust heeft achtergelaten in een weeklange zoektocht naar benzine.
Ze voegden eraan toe dat de TSA een fout heeft gemaakt door de regels aan de industrie op te dringen en niet een “meer op samenwerking gebaseerde aanpak” met experts uit de sector te hanteren voordat ze deze uitvaardigden.
“In plaats van prescriptieve vereisten die de mogelijkheden om toekomstige bedreigingen aan te pakken niet verbeteren, moet TSA prestatienormen in overweging nemen die doelen stellen voor cyberbeveiliging en bedrijven in staat stellen die doelen te bereiken”, schreven de senatoren.
“Als een besluit wordt genomen om door te gaan met specifieke mandaten, zou het proces voor kennisgeving en commentaar op zijn minst een doordachte overweging van praktijken en zorgen in de sector mogelijk maken.”
De senatoren beweerden bovendien dat de huidige praktijken “goed werken. “
Door de Chinese staat gesteunde hackers waren betrokken bij de aanval in april op de Metropolitan Transportation Authority in New York City, die stadsambtenaren en federale autoriteiten alarmeerde.
Volgens bronnen die destijds met The New York Times spraken, kwamen de aanvallers niet ver genoeg in het systeem om schade aan te richten, maar hadden ze dat gemakkelijk kunnen doen, effectief uit zichzelf teruggetrokken. Stadsbeambten zijn nog steeds bezorgd dat de hackers een aantal achterdeuren in het systeem hebben achtergelaten waardoor ze gemakkelijk weer toegang kunnen krijgen.
Degenen die de TSA-regelgeving steunen, merkten eerder dit jaar ook een ransomware-aanval op veerdiensten naar Cape Cod op.
De reacties op de brief varieerden van degenen die er stilzwijgend mee instemden dat de nieuwe regels hardhandig werden doorgevoerd tot anderen die vonden dat de cyberbeveiligingsbescherming van het land voor kritieke industrieën gevaarlijk laks blijft.
De Amerikaanse vertegenwoordiger Jim Langevin — mede-oprichter van de Congressional Cybersecurity Caucus en een commissaris van de Cyberspace Solarium Commission van het Congres — sloeg de brief dicht, met name bezwaar tegen het idee dat de herhaalde tekortkomingen van het land op het gebied van cyberbeveiliging geen onmiddellijke bedreiging.
“Mijn Republikeinse collega's moeten hun hoofd uit het zand steken als ze denken dat ransomware en andere cyberaanvallen geen 'onmiddellijke dreiging' vormen”, zegt Langevin tegen ZDNet.
“Deze nieuwe TSA-regelgeving vereist dat spoorweg- en luchthavenexploitanten plannen maken voor respons op incidenten, wat ze al zouden moeten doen. Het Amerikaanse volk vertrouwt op deze operators, dus CISA moet weten wanneer ze zijn geraakt door een cyberincident. Dit zijn de absolute minimumvoorschriften en hadden al veel eerder moeten gebeuren.”
Industrie-experts zoals BreachQuest CTO Jake Williams merkten op dat elke cyberbeveiligingsregelgeving de mogelijkheid met zich meebrengt om operationele problemen te creëren, vooral wanneer ze worden opgesteld door mensen zonder ervaring in het operationele domein.
“We weten nog niet wat de richtlijnen zullen dicteren, dus het is moeilijk om de richtlijnen zelf te bekritiseren. De specifieke kritiek van Sen Wicker en anderen is echter zeer terecht”, zei Williams.
“De TSA gebruikt noodmaatregelen om nieuwe regelgeving vast te stellen en daarbij het normale feedbackproces te omzeilen. Het is redelijk waarschijnlijk dat TSA zonder het gebruikte feedbackproces per ongeluk operationele problemen met hun nieuwe regelgeving zal introduceren.”
Beveiliging
Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Deze nieuwe phishing-aanval bevat een bewapend Excel-bestand Heeft iemand anders stiekem toegang tot uw iPhone of iPad? Aanvallen in de toeleveringsketen zijn het nieuwe favoriete wapen van hackers Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Overheid – US Security TV Data Management CXO Datacenters 