Jonathan Greig Bidragande skribent
Jonathan Greig är journalist baserad i New York City. Han återvände nyligen till USA efter att ha rapporterat från Sydafrika, Jordanien och Kambodja sedan 2013.
Fullständig bio den 6 december 2021 | Ämne: Säkerhet
I torsdags släppte Department of Homeland Security (DHS) nya regler för USA:s gods- och passagerarjärnvägstransitindustri. Reglerna gör det obligatoriskt för företag att ha en cybersäkerhetssamordnare, rapportera cybersäkerhetsincidenter till CISA, göra en självutvärdering av cybersäkerhet och skapa en hanteringsplan för cyberincidenter.
DHS-tjänstemän sa upprepade gånger att de nya reglerna gjordes efter samråd med branschexperter och möten med järnvägsföretag. De tillade att reglerna drevs av Transportation Security Administration (TSA) efter att CISA informerat dem om legitima hot som järnvägsindustrin står inför.
Den statliga myndigheten har mötts av motreaktioner i år från företag i en mängd olika branscher – såväl som seniora republikanska lagstiftare – för cybersäkerhetsregler som vissa har kallat betungande och onödiga.
I oktober kritiserade senatorerna Roger Wicker, John Thune, Cynthia Lummis, Todd Young, Deb Fischer – alla republikanska ledare i kommittén för handel, vetenskap och transport – DHS användning av nödbefogenheter för att driva på nya regler för USA:s järnvägar och flygplatser system, ifrågasätter om de var “lämpliga frånvarande ett omedelbart hot.”
De republikanska lagstiftarna sa att de “preskriptiva kraven” som rullas ut av TSA “kan vara i otakt med nuvarande praxis” och kan “begränsa berörda industriers förmåga att reagera på föränderliga hot, och därigenom minska säkerheten.” De hävdade också att reglerna kommer att införa “onödiga driftförseningar i en tid av aldrig tidigare skådad trängsel i landets leveranskedja.”
“Istället för föreskrivande krav som kanske inte förbättrar förmågan att hantera framtida hot, bör TSA överväga prestandastandarder som sätter mål för cybersäkerhet samtidigt som de gör det möjligt för företag att uppfylla dessa mål”, skrev senatorerna. “Om man beslutar sig för att fortsätta med specifika mandat, skulle meddelande- och kommentarsprocessen åtminstone möjliggöra eftertänksamma överväganden av branschpraxis och problem.”
Senatorerna hävdade dessutom att nuvarande praxis “fungerar bra.”
När många cybersäkerhetsexperter inblandade i järnvägsindustrin frågade om de senaste reglerna som TSA har utfärdat för järnvägsindustrin uttryckte oro över hur de nya reglerna skulle fungera i praktiken.
Jake Williams, CTO på BreachQuest, sa till ZDNet att på en hög nivå verkar direktiven rimliga. Men en närmare titt på de nya reglerna väckte frågor om hur CISA skulle hantera den störtflod av incidentrapportering som nu krävs.
“Avsnitt B.2.b i direktivet Enhancing Rail Cybersecurity kräver rapportering av upptäckten av skadlig programvara på alla IT-system inom 24 timmar efter upptäckten. Det är svårt att föreställa sig hur TSA kommer att dra nytta av att veta om varje upptäckt av skadlig programvara på varje IT-system, säger Williams.
“Titt till nominellt värde skulle järnvägsoperatörer behöva rapportera varje del av råvaruskadlig programvara som upptäcks i miljön, även om antivirus eller EDR förhindrade att skadlig programvara någonsin kördes. Även om järnvägsoperatörer hade rätt personal för att skapa dessa rapporter, TSA kommer sannolikt att missa betydande rapporter begravda i bruset. De betungande rapporteringskraven kommer sannolikt att minska järnvägssäkerheten, åtminstone på kort sikt, eftersom underbemannade team ägnar resurser åt rapportering snarare än nätverkssäkerhet.”
Williams tillade att dessa policyspråkfrågor upptäcks vanligtvis under den offentliga kommentarsperioden, vilket TSA valde att avstå från.
“Det finns sannolikt andra viktiga problem i de två cybersäkerhetsdirektiven för järnvägar som släppts av TSA utan en offentlig granskningstid”, noterade Williams.
Ron Brash, vice vd på ICS/OT-programvarusäkerhetsföretaget aDolus Technology, upprepade Williams oro över rapporteringskraven och förklarade att de flesta organisationer saknar kompetens och resurser för att följa.
Regering – USA | Säkerhets-TV | Datahantering | CXO | Datacenter