Jonathan Greig Bidragsforfatter
Jonathan Greig er journalist basert i New York City. Han returnerte nylig til USA etter å ha rapportert fra Sør-Afrika, Jordan og Kambodsja siden 2013.
Full bio 6. desember 2021 | Emne: Sikkerhet
På torsdag ga Department of Homeland Security (DHS) ut nye regler for USAs godsjernbane- og passasjertransportindustri. Reglene gjør det obligatorisk for selskaper å ha en cybersikkerhetskoordinator, rapportere cybersikkerhetshendelser til CISA, fullføre en cybersikkerhetsegenvurdering og lage en responsplan for cyberhendelser.
DHS-tjenestemenn sa gjentatte ganger at de nye reglene ble laget etter samråd med industrieksperter og møter med jernbaneselskaper. De la til at reglene ble presset av Transportation Security Administration (TSA) etter at CISA informerte dem om legitime trusler som jernbaneindustrien står overfor.
Det offentlige byrået har i år møtt tilbakeslag fra selskaper i en rekke bransjer – så vel som senior republikanske lovgivere – for nettsikkerhetsregler som noen har kalt tyngende og unødvendige.
I oktober kritiserte senatorene Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alle republikanske ledere i komiteen for handel, vitenskap og transport – DHS' bruk av nødmyndighet for å presse nye regler for amerikanske jernbaner og flyplasser. systemer, spørsmål om de var “passende fraværende en umiddelbar trussel.”
De republikanske lovgiverne sa at de “foreskrivende kravene” som ble utrullet av TSA “kan være i utakt med gjeldende praksis” og kan “begrense berørte industriers evne til å reagere på trusler under utvikling, og dermed redusere sikkerheten.” De hevdet også at reglene vil pålegge “unødvendige driftsforsinkelser i en tid med enestående overbelastning i landets forsyningskjede.”
“Snarere enn foreskrivende krav som kanskje ikke forbedrer evnen til å møte fremtidige trusler, bør TSA vurdere ytelsesstandarder som setter mål for cybersikkerhet samtidig som de gjør det mulig for bedrifter å oppfylle disse målene,” skrev senatorene. “Hvis det blir tatt en beslutning om å fortsette med spesifikke mandater, vil varsel- og kommentarprosessen i det minste tillate gjennomtenkt vurdering av bransjepraksis og bekymringer.”
Senatorene hevdet i tillegg at dagens praksis “fungerer bra.”
På spørsmål om de siste forskriftene gitt av TSA for jernbaneindustrien, var mange cybersikkerhetseksperter involvert i jernbaneindustrien uttrykte bekymring for hvordan de nye reglene vil fungere i praksis.
Jake Williams, CTO i BreachQuest, sa til ZDNet at på et høyt nivå virker direktivene rimelige. Men en nærmere titt på de nye reglene reiste spørsmål om hvordan CISA ville håndtere syndfloden av hendelsesrapportering som nå kreves.
“Seksjon B.2.b i direktivet Enhancing Rail Cybersecurity krever rapportering av oppdagelsen av skadelig programvare på ethvert IT-system innen 24 timer etter oppdagelsen. Det er vanskelig å forestille seg hvordan TSA vil ha nytte av å vite om enhver skadelig programvareoppdagelse på hvert IT-system,” sa Williams.
“Tatt for pålydende, ville jernbaneoperatører måtte rapportere hver del av råvareskadelig programvare som oppdages i miljøet, selv om antivirus eller EDR forhindret skadelig programvare fra noen gang å kjøre. Selv om jernbaneoperatører var riktig bemannet for å lage disse rapportene, vil TSA vil sannsynligvis gå glipp av betydelige rapporter begravd i støyen. De tyngende rapporteringskravene vil sannsynligvis redusere jernbanesikkerheten, i det minste på kort sikt, ettersom underbemannede team dedikerer ressurser til rapportering i stedet for nettverkssikkerhet.”
Williams la til at disse politiske språkproblemene oppdages vanligvis i løpet av den offentlige kommentarperioden, som TSA valgte å gi avkall på.
“Det er sannsynligvis andre viktige problemer i de to cybersikkerhetsdirektivene for jernbane utgitt av TSA uten en offentlig gjennomgangsperiode,” bemerket Williams.
Ron Brash, visepresident i ICS/OT-programvaresikkerhetsfirmaet aDolus Technology, gjentok Williams bekymringer om rapporteringskravene, og forklarte at de fleste organisasjoner mangler ferdigheter og ressurser til å overholde.
Regjeringen – USA | Sikkerhets-TV | Databehandling | CXO | Datasentre