DHS erteilt Cyber-Anweisung an Pipeline-Betreiber als erster Schritt zur Regulierung kritischer Infrastruktursektoren

Cyber Security News

Die Trans Canada Keystone Pipeline. (shannonpatrick17 aus Swanton, Nebraska, U.S.A., CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Die Transportation Security Administration, die Behörde des Department of Homeland Security, die mit der Überwachung der Sicherheit von Öl- und Erdgaspipelines beauftragt ist, hat am Mittwochmorgen neue Anforderungen an die Cybersicherheit von Pipelines eingeführt.

Die TSA-Bestellung markiert die ersten obligatorischen Cybersicherheitspraktiken für Pipelines, und was einige erwarten, wird die erste von mehr Standards sein, die die Regierung in Kraft setzt, um zu regulieren, wie kritische Infrastrukturbetreiber Netzwerke und Systeme schützen.

“Ich habe schon eine Weile gesagt: Wenn wir in Bereiche kommen, in denen sich Cyber deutlicher in der physischen Welt zu manifestieren beginnt, in der öffentlichen Gesundheit der Menschen, ihrer Sicherheit; wenn ihr direktes Leben mehr betroffen ist, würden wir beginnen, mehr Druck in Richtung einer stärkeren Regulierung zu sehen”, sagte Michael Daniel, ehemaliger Cybersecurity-Koordinator des Weißen Hauses und derzeitiger Präsident und CEO der Cyber Threat Alliance Industrie Bedrohungsaustauschgruppe.

Die Anordnung enthält drei Komponenten. Erstens müssen Pipeline-Betreiber die Cybersecurity and Infrastructure Security Agency über alle Cybersecurity-Vorfälle informieren. Zweitens müssen sie einen designierten, immer verfügbaren Koordinator installieren, der sich um alle Probleme kümmert. Schließlich müssen die Pipelines ihre Systeme innerhalb von 30 Tagen überprüfen, um sicherzustellen, dass sie mit den bisher nicht vorgeschriebenen oder durchgesetzten Cybersicherheitsrichtlinien übereinstimmen, und einen Plan entwickeln, um etwaige Lücken zu schließen.

“Dies ist der erste Schritt in der unmittelbaren Folge des Colonial-Pipeline-Vorfalls, dem weitere folgen werden”, sagte ein hochrangiger Beamter am Dienstagabend in einer Telefonkonferenz zu Reportern.

Der jüngste Ransomware-Angriff auf die Colonial Pipeline führte zu einer vorübergehenden Abschaltung des Hauptlieferungssystems für Benzin an der Ostküste. Die Washington Post berichtete zuerst am Montag, dass die TSA eine Anweisung als Reaktion auf den Colonial-Vorfall veröffentlichen sollte.

Es ist erwähnenswert, dass die TSA für die Cybersicherheit von Pipelines zuständig ist, seit die Behörden die Verantwortung für kritische Infrastrukturen nach 9/11 aufgeteilt haben. Die TSA beaufsichtigte die ersten Pipeline-Cybersicherheitsrichtlinien, die 2010 veröffentlicht wurden, bis hin zu den jüngsten Richtlinien, die 2018 veröffentlicht wurden. Die neueste Iteration gibt der TSA außerdem die Befugnis, Unternehmen zu bestrafen, die sich nicht an die Cybersicherheitsverordnung halten.

Branchenführer stellen jedoch in Frage, ob die TSA ideal aufgebaut ist, um eine umfassende regulatorische Rolle zu übernehmen, insbesondere angesichts der erhöhten Bedrohung durch Cyberangriffe auf kritische Infrastrukturen.

“Die TSA ist eine schreckliche Agentur für Cyber, und es ist zu klein, um wirklich etwas von nachfolgender Natur für kritische Infrastrukturen zu tun”, sagte Ron Brash, Direktor der Cybersicherheit Einblicke für kritische Infrastruktur Cybersecurity Firma Verve Industrial, in einem Gespräch mit SC vor der Veröffentlichung der Bestellung.

Nichtsdestotrotz sagten DHS-Beamte gegenüber Reportern, dass die TSA ausreichend mit Personal ausgestattet sei, nicht nur um die aktuelle Anordnung zu überwachen, sondern auch für zukünftige Aktionen in diesem Bereich. Die TSA hat mit der CISA und den Idaho National Labs zusammengearbeitet, um das Personal zu schulen und sagt, dass sie sich auf die CISA stützen wird, wenn es um Ratschläge geht. Beamte glauben, dass die kontinuierliche Arbeit der TSA mit den Pipeline-Betreibern eine kooperative Beziehung gezeigt hat, auf der sie aufbauen können, wenn sie eine stärker regulierende Rolle übernehmen.

Die TSA soll im Jahr 2021 insgesamt 52 freiwillige Cybersecurity-Assessments von Pipeline-Betreibern durchführen, von denen 23 bereits abgeschlossen sind.

Daniel warnte auch davor, die Aufsicht über Cybersecurity und physische Sicherheit, die oft eng miteinander verwoben sind, zu trennen. “Im Laufe der Zeit, als sich die Bedrohungen für kritische Infrastrukturen mehr und mehr verschoben haben und der Cyber-Bereich genauso wichtig – wenn nicht sogar wichtiger – geworden ist als einige der physischen Bedrohungen, hat sich niemand wirklich mit der Aufteilung der federführenden Behörden befasst, oder ob man eine andere federführende Behörde für Cyber-Bedrohungen und physische Bedrohungen haben sollte”, sagte er. “Aber es gibt Gründe, diese nicht aufzuteilen.”

Die Biden-Administration hat eine besonders aktive Haltung zur Cybersicherheit von Infrastrukturen eingenommen, wobei eine Anfang des Jahres unterzeichnete Verordnung zur Cybersicherheit des Stromnetzes die erste von mehreren sektorspezifischen Verordnungen sein dürfte. Daniel sagt voraus, dass noch weitere folgen werden.

Und obwohl die TSA-Verordnung der erste explizit regulierende Schritt Bidens für die Infrastruktur ist, gibt es eine Geschichte der Regulierung, die bessere Cybersicherheitspraktiken in kritischen Infrastruktursektoren hervorbringt. Zum Beispiel hat die Regulierung einen großen Wandel in der Cybersicherheit des Stromnetzes bewirkt, als die Standards von der North American Electric Reliability Corp. eingeführt wurden, sagte John Livingston, CEO von Verve Industrial.

“Es gibt viele Gründe, warum die Sachen von NERC nicht perfekt sind, aber NERC hat das Versorgungsunternehmen von einer Eins auf eine Fünf auf einer 10-Punkte-Skala gebracht”, sagte er. “Es ist schwer für einen CEO, der versucht, den Gewinn zu verwalten, zu sagen: ‘Oh, ich werde jetzt 2 % des Budgets für Sicherheit ausgeben’, es sei denn, man sagt ihm, dass er das muss, und jeder andere in seiner Branche tut das auch.”

Er schätzt die Cybersicherheit in der Pipeline derzeit als “eine Eins. It’s low.”

Sowohl Energie als auch Pipelines stellen verteilte Systeme dar, bei denen zentrale Kontrollzentren die landesweiten Anlagen verwalten. Bei der Pipelinesicherheit im Allgemeinen gibt es jedoch ein paar andere Falten. Wie die Ostküste mit Colonial gesehen hat, sind Pipelines nicht redundant und machen einzelne Organisationen zu Choke Points für ganze Regionen. Aber Elektrizität und Gas sind untrennbar miteinander verbunden, so Livingston, was sie zu praktischen Kandidaten für erste Regulierungsbemühungen macht.

“Fünfundzwanzig Prozent unserer Infrastruktur wird mit Erdgas betrieben. Wenn man die Pipelines abschaltet, schaltet man einen erheblichen Teil der Erzeugungskapazität ab”, sagte Livingston. “Wenn wir also das Netz schützen wollen, müssen wir auch die Pipelines schützen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com