其他
关基安全“第一把火”搞砸了!美国管道网络安全监管遇到重大障碍
关注我们
带你读懂网络安全
2021年科洛尼尔管道运输公司遭遇网络攻击,致使美国多州进入紧急状态,美国国家运输安全管理局因此颁布了首部针对管道行业的强制性网络安全指令,以替代先前的自愿性指导文件;
但这“第一把火”效果并不太好,美国管道行业表示,国家运输安全管理局的人员短缺和僵硬要求,正在削弱拜登政府保护美国管道免受黑客攻击的能力。
前情回顾美国政府要求管道公司达到最基本网络安全标准的首次尝试正在遭遇重重困难。对白宫来说这不是个好消息,因为他们正在设法加强对各类关键基础设施的网络安全防护。后者正是目前国外黑客的首选目标。
TSA正在把事情搞砸
管道运输公司认为,美国国家运输安全管理局(TSA,下称“运输安全管理局”)制定的网络安全规定莫名其妙且可操作性不强,一旦付诸实施甚至可能危及管道安全与油料输送的正常展开。其他能源领域的公司以及网络安全专家对上述说法表示认可,称要求制定替代方案的行业呼声汹涌而至,已令运输安全管理局的网络安全团队焦头烂额。一名要求匿名的管道运输公司老板表示,运输安全管理局的网络安全规定“颁布的非常匆忙”,燃料输送和供应很有可能会因为管道公司被强迫遵守某些考虑不周的要求而受到干扰。不仅管道运输公司在批评运输安全管理局的规定不够灵活,就连行业外的相关人士也认为该局颁布的规定过于僵化和教条,对管道运输系统来说并不适用。与关键基础设施公司有业务往来的工控安全公司Dragos CEO罗伯特・M・李表示,“无论从哪个角度看,运输安全管理局都在把事情搞砸。兹事体大,能够从多个方面证明有哪些事情是监管程序不能做的。”美国国家运输安全管理局最为外界所知的职能是保证机杨安全,但公共交通系统、港口和管道运输等行业的安全维护也在其职能范围之内。他们颁布的安全新规大部分是建立在保护个人计算机的基础上,而非管道输送控制系统。这让相关公司感觉摸不着头脑——不知道该怎么做才能遵守这些规定。还有一些规定要求花费经年累月的时间和相对高昂的成本对相关系统进行升级,但这将不可避免地干扰管道公司的正常运营。根据管道公司和安全专家的说法,上述矛盾最终很可能破坏公司企业与监管部门之间一度和谐的合作关系,把局面搞得一团糟。
规范性制度对管道运输行业并不适用
亡羊补牢却又“招黑”
从自愿性指导方针转向强制性
规章制度需要时间
但结果显然是不成功的,因为政企之间缺乏并没有建立起卓有成效的沟通与合作模式。在今年2月16日与多家管道公司的会议上,运输安全管理局局长戴维・皮考斯克(David Pekoske)承认本局应该与公司在“替代措施”信息共享方面做得更好一些。不过管道运输公司方面并未因局长的让步而领情。他们认为,美国境内的管道运输网络当初铺设时耗资巨大,然而却没有将网络安全问题纳入考虑。现在让他们实施新的网络安全保护措施是强人所难。管道运输公司方面希望政府部门能够再出台一部崭新的、结果导向型规章,帮助他们借助自己选择的手段来达到政府提出的网络安全要求。新规章要采取更灵活模式。例如,运输安全管理局不应该僵硬地要求管道公司采取某些具体措施,切断运营网络与提供其他服务(比如电子邮件、网页浏览或工资处理)的计算机网络之间的联络。他们只应该简单地指导管道公司要保证上述两套系统之间的充分隔离,以防止黑客从人力资源系统跳转进管道控制系统。具体的隔离措施可以留给管道公司自己制定。参加2月16日会议的管道公司高管透露,皮考斯科对采用上述更灵活的模式表示赞同。不过国土安全部高级官员表示,用更灵活的方案替代目前的管道公司安全规章需要很长时间。政府方面目前正对在其他监管项目中取得的经验教训进行仔细斟酌,以便为管道运输公司及其他运输安全管理局治下的基础设施制定新的、永久性规章。网络安全专家李说,一套全面详实的规章拟定流程再加上与行业的充分沟通一般需要花费18至24个月时间,抓紧一点也需要一年时间。这期间,政府部门需要确定其对网络安全的预期,相关公司应该就达成该预期的方式提出建议。双方在合作的基础上撰写最终的规章方案。另外,政府还可能根据新规章以设置一名信息安全官,或制定突发事件应急计划并定期演练。网络安全专家李认为这些措施虽然很常规,但也是可以接受的。因为它们“不影响公司企业做正确的事情和决定”。
参考来源:politico.com
推荐阅读