美国国土安全部正着手发布首份输送管道行业网络安全监管法规,旨在防止本月初科洛尼尔公司(Colonial)遭遇重大攻击事件所引发的东海岸燃料供应短缺问题。这次事件凸显了关键基础设施在面对网络攻击时不堪一击的羸弱现状。
国土安全部高级官员称,该部下辖运输安全管理局将于本周发布安全指令,要求各管路企业向联邦政府当局上报网络事件。官员们还强调将在未来几周之内,针对各管路公司系统的网络防御体系及黑客攻击应对措施,制定出一份更为完善的强制性要求。此前,相关文件均为自愿遵守。
5月中旬,勒索软件攻击导致科洛尼尔油管公司输送管路瘫痪达11天,直接导致美国东南部(包括华盛顿特区)出现供油短气与恐慌性囤积。如果持续时间进一步延长,高度依赖柴油供应的航空公司、公共交通与化学精练设施都将受到影响。科洛尼尔公司首席执行官表示,该公司被迫向勒索团伙支付440万美元才得以赎回系统控制权。
官员们透露,此次网络攻击直接促使国土安全部长Alejandro Mayorkas及其他多位高层官员认真思考如何运用现有运输管理局职能推动行业变革。
国土安全部发言人Sarah Peck在一份声明中提到,“拜登政府正采取进一步措施,希望更好地保护美国国内的关键基础设施。运输管理局与网络安全及基础设施安全局正开展密切合作,包括与管路行业各企业进行协调,以确保他们采取一切必要手段增强自身网络威胁抵御能力、保护系统安全运转。”
姗姗来迟的管路系统网络安全指令
运输管理局全面接手管路安全工作始于911事件之后。2001年11月11日,联邦政府着手对运输管理局进行改革,将以往由交通运输部负责的燃料、天然气及化学药品输送管路(当时管路被视为一种运输载体)安保责任移交给新建立的运输管理局,后者由此掌握了保障地面运输体系的强大权力。
不过,交通运输部在管路安全方面仍有一定责任,需要保证其不致发生故障。运输管理局方面则主要关注管路的物理安全因素,包括防止其受到恐怖袭击或破坏行为影响。
到2010年,美国第一份与网络相关的保护指南才正式出台。这份指南后续虽在2018年经历了更新,但仍未能满足许多专家的预期。
大部分关键基础设施部门(包括大坝、医疗保健乃至永处理系统)都还没有任何强制性网络标准,只有大型发电厂与核电站在这方面做出过少量探索。由于美国商会的强烈反对,国会在2012年提出的强制性要求最终未能通过。
新指令将强制执行,按效能评判
运输管理局此次发布的新安全指令要求各管路公司向运输管理局与网络安全及基础设施管理局及时上报网络安全事件,指派一位网络官员(例如首席信息安全官),并准备一部24/7全天候安全联络电话。指令还要求企业根据现有网络准则评估系统的实际安全性,将以往的自愿性标准转为强制性守则。
一位资深人士解释道,“这只是第一步,未来还会出台更为强硬的指令,提出更多更具现实意义、能够随技术变化而灵活调整、持久保持有效的新要求。”但由于新指令尚未公布,这位国土安全部官员选择匿名发言。
官员们还提到,新规定有望在未来几周内起草完成,将要求各企业纠正现有问题并解决安全漏洞,否则将面临经济处罚。对于运输管理局,这意味着其执法工作将由管路公司自由配合转为强制执行。
目前的运输管理局指南已经列出部分安全措施要求,例如定期检查远程网络连接。专家们强调,“基于效能”的评判机制可能更为可取。例如,应指定此类连接系统不存在任何可被用于恶意入侵工业控制系统的制品。专家们认为,这种方式能够引导企业明确关键目标、持续推动创新并紧跟技术发展趋势。
行业人士持谨慎态度
面对日益升温的矛盾冲突,特别是联邦政府如何保证各厂商充分部署关键基础设施防御措施的问题,监管部门显然已经下定了行动的决心。自科洛尼尔公司遭遇攻击以来,拜登政府与国会议员已经公开批评国内缺少针对天然气及石油管线运营商的严格网络安全法规,但行业代表一边则对这些发布新法规的主张持谨慎态度。
运输管理局制定的强制性网络安全标准显然迎合了部分批评人士的观点,包括以往的自愿性标准并不能激励企业在安全方面进行充分投入。但运输管理局本身也不是毫无问题,部分议员称该局本身就缺乏必要的专业知识与资源,无法在这项本应由能源部主抓的安全工作中扮演如此重要的监督角色。
更重要的是,运输管理局的介入有可能给这项以往由其他机构(包括能源部与海岸警卫队)监督的工作带来更多复杂因素。能源部已经在监督面向各大规模电力供应商的网络法规,而国土安全部则着力推进化工厂物理与网络安全规则。因此,负责运输化学药品及管线或拥有天然气管路及电厂的公共事业企业有可能需要同时承受这两项沉重的网络合规负担。
国土安全部前基础设施保障事务助理秘书Brian Harrell表示,“我们实施的任何网络标准,都必须与当前行业中适用的其他安全法规相协调。具体工作非常复杂,我们不可能儿戏般地边做边看。”
目前,全美拥有超过270万英里输送管路。其中约21.6万英里管路负责输送有害液体,包括原油、柴油、汽油与喷气燃料等。此外,美国本土拥有3000多家管路公司。
运输管理局监管能力面临挑战
多年以来,人们对于管路系统遭遇的网络攻击及自身安全缺陷愈发关注。2011年与2012年,针对天然气管路企业的大规模网络入侵活动震惊了整个行业,也促使运输管理局及管路行业努力更新安全标准。
但这些标准只要求从业厂商自愿遵守,意味着公司完全可以明确拒绝运输管理局提出的安全制度审计提议。为此,运输管理局于2018年开始推动“验证有效的架构设计审查”,希望借此提高企业的网络响应能力与效率。这项审查计划由网络与基础设施安全局联手爱达荷州国家实验室共同建立。
但作为监管机构,运输管理局目前面临的一大挑战,在于严重缺乏能够处理审计与执行工作的资深人才。2014年,运输管理局的管路安全部门雇员只有1名;直到2019年,雇员数量也刚刚达到可怜的5人。为此,国土安全部正计划让网络与基础设施安全局同运输管理局合作实施新规则,同时放开更多员工雇用名额——运输管理局可额外招聘16人,网络与基础设施安全局可再招聘100人。
Harrell强调,“运输管理局肩负着神圣的使命,多年来为公众安全保障做出了重大贡献。但该局目前确实不具备管理强制性管路安全合规制度的专业知识和必要资源。”
因此,他认为国会需要“加快脚步”,并为运输管理局提供丰富的补充性资源。
权力之争:能源部 vs 国土安全部谁更适合监管
管路行业对此次变动应该也早有心理准备。行业代表们提到,美国天然气协会和美国石油学会等团体已经根据以往的自愿性标准开展合作,并鼓励各成员企业加入进来。
只是科洛尼尔油管公司的遭遇,让一切加快了推进速度。
事件发生后,联邦能源管理委员会主席Richard Glick立即呼吁制定强制性网络安全标准。该委员会还与私营部门北美电力可靠性公司展开协作,对各大规模电力系统实施强制性网络标准。他认为“现在,管路行业也应该拥有自己的类似标准。”“仅仅以自愿形式鼓励采取最佳实践相当于不负责任,甚至是对日益增加且不断复杂化的恶意攻击活动的一种放任。”
能源部长Jennifer Granholm最近在听证会上强调,针对管路系统的强制性网络规则确有必要。上周,美国气体学会委员会批准一项决议,表示愿意支持“合理的”网络安全法规。
众议院能源与商务委员会的管理层则认为,相较于运输管理局,能源部才是监督管路安全的最佳机构。更重要的是,能源部最近刚刚出台新措施,号称能够增强自身对物理及网络安全威胁的响应能力。
但众议院国土安全委员会的同僚们认为,二者的区别在于运输管理局了解输送管路,而能源部对此缺乏认识。他们为此重新强调了由运输管理局监督管路安全的必要性,同时指出相较于能源部,管理局已经具备制定和执行强制性规则的权力。
参考来源:华盛顿邮报
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。