美国运输安全管理局 (TSA) 发布铁路行业网络安全指令

美国运输安全管理局(TSA)当地时间12月2日发布了两项安全指令，要求铁路和轨道交通集团采取措施加强该部门的网络安全，包括向联邦政府报告网络事件。安全指令要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局(CISA)报告，并指定一名网络安全协调员。该项指令早前计划要求企业在12小时内报告网络事件，但遭到了工业界和共和党人的反对和批评。据一位国土安全部官员表示，这些指令将覆盖大约80%的货运铁路和90%的客运铁路。指令将于12月31日生效，业主和运营商将有90天时间进行网络安全脆弱性评估，180天时间实施网络安全事故响应计划。目前新的安全指令的文本尚未公开发布。

国土安全部部长亚历杭德罗·马约卡斯在10月份的一个网络安全峰会上首次宣布了铁路部门即将出台的指令，指出需要特别防范勒索软件的攻击。当时马约卡斯还透露，航空部门将出台类似的网络安全指令。

“这些新的网络安全要求和建议将有助于确保旅行中的公众安全，并保护我们的关键基础设施免受不断演变的威胁。国土安全部将继续与各级政府和私营部门的合作伙伴合作，提高我们全国关键基础设施的抵御能力，”国土安全部部长亚历杭德罗·马约卡斯说。

新的指令要求这些组织完成对其网络的脆弱性评估，然后根据发现的安全问题制定网络安全事件应急处置计划。一项指令适用于货运铁路集团，而另一项指令适用于客运铁路和轨道交通公司，但它们是相同的，将很快公开发布。

国土安全部高级官员周四（12月2日）告诉记者，运输安全管理局“最近更新了航空安全计划，要求机场运营商采取类似的步骤”，以满足先来主管部门的要求。

自国土安全部长马约卡斯的声明发布以来，主要的行业组织已经表达了对计划指令的担忧，包括对事故的报告命令可能存在的问题过于广泛，以及没有意识到铁路部门面临的威胁增加。一个特别值得关注的问题是，有必要界定报告何种类型的网络事件。

国土安全部高级官员告诉记者，运输安全管理局已与行业组织合作解决这些问题，并在周四宣布之前，已向利益相关方提交了两份指令草案，以审查并提供反馈。

“关于明确关键的平衡,我们首先需要的是，力图确保我们捕获这些事件,政府需要知道因为与之相关的风险和确保我们的学习上升到这一水平,同时确保我们不会无谓地追踪每一起事件，以免被海量噪音事件淹没，所以这是我们在起草措辞时试图达到谨慎的平衡，”一位国土安全部高级官员说。

纽豪斯（Victoria Newhouse），运输安全管理局负责政策、计划和参与的副助理行政长官，在周四的众议院运输和基础设施委员会听证会上作证，运输安全管理局已经采取措施提高行业对该指令的投入，并在这方面与其他机构“极其密切”地合作。

纽豪斯作证说:“我们继续积极参与。”“就在本周，我和我在运输安全管理局的几位高层领导会见了货运铁路和客运铁路的高管，在我们的设施内进行了一场机密情报简报分享，向他们展示了我们所看到的情况，引发了关注，并要求他们为未来的要求或其他指导方针提供更多的信息，我们可以通过告诉他们这是他们需要做的。”

纽豪斯还指出，在周四指令宣布之前，“就在我们发言的时候，一些管道行业的人员、CISO和其他安全人员正在获得情报简报，由于我们的执法和情报部门合作伙伴，我们在美国各地有一个机构来支持这些情报简报。”

表达担忧的组织之一是美国铁路协会(AAR)，该组织代表了包括美国国家铁路客运公司(简称Amtrak)在内的北美铁路公司。AAR发言人杰西卡·卡哈内克（Kahanek）在宣布之前告诉《国会山》，最初的一些担忧已经得到解决。

卡哈内克说:“最近几周，AAR与TSA官员进行了富有成效的磋商，以解决最初起草的《安全指令》对铁路公司长期有效做法的不利影响。”“因此，我们预计已经对指令的内容进行了修改，以减轻这些严重的担忧。”

周四举行的众议院交通委员会听证会上，主席彼得·德法齐奥(Peter DeFazio)，俄勒冈州民主党众议员。他称赞新指令对该行业来说是积极的一步。

“自愿合作有时是不够的，”他说。“华尔街的吸血鬼会说，‘嘿，你为什么要把那么多钱花在网络安全上，这会压低你的股价?我们只是想看到你把钱存进银行。’”

德克萨斯州共和党众议员布莱恩·巴宾(Brian Babin)对此表示怀疑。他说:“作为立法者和规则制定者，我们必须格外小心，确保我们不会干预我们不了解的事情，无意中创造更多臃肿的监管，或用负担过重的要求扼杀创新，而这些要求并不能真正保护我们的基础设施。”

今年早些时候，殖民者管道公司(Colonial pipeline)遭到勒索软件攻击，导致多个州的天然气暂时短缺，并导致关键供应链瘫痪，TSA此前曾发布两项安全指令，旨在加强管道行业的网络安全。

之前针对管道行业的指令要求管道所有者和运营商在12小时内向CISA报告网络安全事件，采取安全措施以防范勒索软件攻击，并在攻击成功时制定恢复计划。

相关情况可参阅早期先的报道。

参考资源

1、https://www.cyberscoop.com/rail-transportation-directives-dhs/

2、https://thehill.com/policy/cybersecurity/584041-tsa-issues-directives-to-rail-sector-to-strengthen-cybersecurity

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。