深化推进关基安全！美国运安局更新铁路网络安全指令

前情回顾·美国关基行业安全大跃进

• 重磅！美国政府正在修订关基安全保护顶层政策

• 深化推进关基安全！美国政府发布运输管道网络安全指令第三版

• 美国关基安全重要进展：加强铁路网络安全指令发布

• 关基安全重大挫折！美国水务行业叫停强制性网络安全规定

安全内参10月26日消息，美国运输安全管理局（TSA，以下简称运安局）23日宣布，更新了针对客运和货运铁路运营公司实施监管的三项安全指令。此举旨在持续增强地面运输系统及相关基础设施的网络安全，满足资产所有者和运营商有关降低关键铁路运营和设施面临网络安全威胁的诉求。

这三项安全指令原定于今年10月24日到期，现将延期一年，并纳入增强该行业网络攻击防御能力的修订内容。三项安全指令还综合了行业利益相关方与联邦政府合作伙伴的意见，如国土安全部网络安全与基础设施安全局（CISA）、交通部联邦铁路管理局（FRA）。

明确网络安全责任不能外包

指令将进一步加强美国关键铁路运营的网络安全预防与弹性水平，要求运安局指定的客运和货运铁路运营公司采取行动，通过灵活的、基于绩效的方法，防止对基础设施造成破坏和降级。这些要求与运安局对管道运营公司的要求一致。

指令要求实施包含纵深防御的分层网络安全措施，以降低关键铁路运营及设施所面临的网络安全威胁风险。近期一系列真实事件已经反复证明，恶意个人、组织及政府构成的威胁形势正日趋复杂，安全漏洞愈发凸显，实施最新指令要求已经迫在眉睫。

指令修订版还新增了一部分内容。指令明确提到，如果所有者/运营者已将执行关键基础设施保护（CIP）安全措施的责任全部或部分委托给托管安全服务提供商（MSSP），根据这项新的安全指令，所有者/运营者仍然将是确保符合运安局批准的网络安全实施计划和安全指令规定的唯一责任人。

指令修订版提出，如果运安局对所有者/运营者的决定存在分歧，运安局将会通知他们，并可能要求提供关于确定关键网络系统的方法或理由的额外信息。若适用，所有者/运营者需要在运营变更后的60天内通知运安局，确定遵守安全指令要求的时间表。

修订后的“加强铁路网络安全”指令及“加强公共交通和客运铁路网络安全”系列指令要求，规定范围内的所有者和运营者每年测试其网络安全事件响应计划中的至少两个目标，并要求相关岗位员工积极参与此类演练。

修订后的“铁路网络安全缓解措施与测试”指令规定，铁路所有者和运营者每年向运安局提交一份更新后的网络安全评估计划供审批。他们还必须按照评估和审计特定网络安全措施效果的时间表，报告前一年的结果，确保所有网络安全措施在三年内得到评估。

细化网络安全措施

为了防范对国家和经济安全的持续威胁，最新安全指令要求铁路所有者/运营者采取以下网络安全措施，防止其基础设施和/或运营遭到破坏。

具体来说，所有者/运营者必须建立并落实运安局批准的网络安全实施计划，描述采取的具体措施以及实施网络分段策略和控制的时间表，确保信息技术系统遭到入侵时，操作技术系统仍然可以安全运行。

他们必须实施访问控制措施，确保关键网络系统不受未经授权的访问；引入连续监控和检测政策和程序，检测网络安全威胁并纠正影响关键网络系统操作的异常；通过基于风险的方法，及时为关键网络系统的操作系统、应用程序、驱动程序和固件安装安全补丁和更新，从而降低未打补丁系统被利用的风险。

安全指令还规定，所有者和运营者必须制定网络安全评估计划，并每年提交一份更新后的计划供运安局审批。他们还必须提交一份年度报告，汇报上一年网络安全评估计划的实施结果。

目前已经确定的铁路所有者/运营者已经提交了网络安全实施计划，正在等待运安局的批准或已经获得运安局批准。新版指令规定了运安局用来检查合规性的安全措施和要求。

铁路关基安全不容忽视

运安局局长David Pekoske表示，“这次更新是为了确保国家铁路系统免受网络威胁的正确之举，而这些更新也保持了铁路行业已经实施的强有力的网络安全措施。运安局与CISA、FRA以及铁路行业的合作一直是我们加强韧性和防范危害工作中至关重要的一部分，将继续发挥关键作用。”

最新的安全指令保留了旧版基于绩效的网络安全措施。这些必要行动仍然扮演着关键作用，可以保护美国的国家安全、经济和公共健康与安全免受针对美国铁路的恶意网络入侵的影响。

关键铁路系统即使发生轻微中断，也有可能导致短期产品短缺，对国家安全构成重大风险。如果商品流通长时间中断，可能大范围干扰供应链，对依赖美国铁路运输的产业产生连锁影响。

今年6月，运安局David P. Pekoske在美国国会国土安全小组委员会的听证会上作证，表示运安局正在制定规则，将管道和铁路运输的关键网络安全要求永久性编入法规。这一听证会主要讨论美国政府2024财年运安局预算申请。

参考资料：https://industrialcyber.co/transport/tsa-renews-cybersecurity-requirements-to-reduce-threats-posed-to-railroad-operations-facilities/、https://www.tsa.gov/news/press/releases/2023/10/23/tsa-renews-cybersecurity-requirements-passenger-and-freight-railroad

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。