关基安全“第一把火”搞砸了!美国管道网络安全监管遇到重大障碍

2022-03-30 15:31
49

2021年科洛尼尔管道运输公司遭遇网络攻击,致使美国多州进入紧急状态,美国国家运输安全管理局因此颁布了首部针对管道行业的强制性网络安全指令,以替代先前的自愿性指导文件;


但这“第一把火”效果并不太好,美国管道行业表示,国家运输安全管理局的人员短缺和僵硬要求,正在削弱拜登政府保护美国管道免受黑客攻击的能力。


美国政府要求管道公司达到最基本网络安全标准的首次尝试正在遭遇重重困难对白宫来说这不是个好消息,因为他们正在设法加强对各类关键基础设施的网络安全防护。后者正是目前国外黑客的首选目标。


TSA正在把事情搞砸


管道运输公司认为,美国国家运输安全管理局(TSA,下称“运输安全管理局”)制定的网络安全规定莫名其妙且可操作性不强,一旦付诸实施甚至可能危及管道安全与油料输送的正常展开。其他能源领域的公司以及网络安全专家对上述说法表示认可,称要求制定替代方案的行业呼声汹涌而至,已令运输安全管理局的网络安全团队焦头烂额。
一名要求匿名的管道运输公司老板表示,运输安全管理局的网络安全规定“颁布的非常匆忙”燃料输送和供应很有可能会因为管道公司被强迫遵守某些考虑不周的要求而受到干扰。不仅管道运输公司在批评运输安全管理局的规定不够灵活,就连行业外的相关人士也认为该局颁布的规定过于僵化和教条,对管道运输系统来说并不适用。
与关键基础设施公司有业务往来的工控安全公司Dragos CEO罗伯特・M・李表示,“无论从哪个角度看,运输安全管理局都在把事情搞砸。兹事体大,能够从多个方面证明有哪些事情是监管程序不能做的。”
美国国家运输安全管理局最为外界所知的职能是保证机杨安全,但公共交通系统、港口和管道运输等行业的安全维护也在其职能范围之内。他们颁布的安全新规大部分是建立在保护个人计算机的基础上,而非管道输送控制系统。这让相关公司感觉摸不着头脑——不知道该怎么做才能遵守这些规定。还有一些规定要求花费经年累月的时间和相对高昂的成本对相关系统进行升级,但这将不可避免地干扰管道公司的正常运营。
根据管道公司和安全专家的说法,上述矛盾最终很可能破坏公司企业与监管部门之间一度和谐的合作关系,把局面搞得一团糟


规范性制度对管道运输行业并不适用


图片

管道运输是美国最重要的关键基础设施之一。大约三分之二的美国民众在日常生活中都离不开通过管道输送的油气产品。没有这些产品,汽车就会趴窝,医院、家庭和军事基地就会陷入黑暗。美国全国范围内布设的管道总长度超过260万英里,运营商包括Enbridge、Kinder Morgan、Williams Cos.等公司——如果不遭遇大规模抗议、恶性事件或网络攻击,大多数美国人或许永远听不到这些名字。
2021年5月,科洛尼尔管道运输公司遭遇网络攻击。受此影响,美国东海岸大部分地区的天然气供应出现暂时性短缺。科洛尼尔公司松懈的网络安全管理水平倍受指责。运输安全管理局因此颁布了本部门首部强制性网络安全规章,以替代先前的自愿性指导方针
根据这份2021年7月出台的规章,管道运输公司应该启用三十多种普通型网络安全防护措施,其中包括每周病毒查杀、及时安全更新、设置功能强大的防火墙以阻止恶意软件入侵以及采用多因素身份验证。
但行业代表认为,运输安全管理局、网络安全与基础设施安全局(CISA)制定出台的规章制度未能考虑到工业控制系统(特别是管道运输行业控制系统)的独特性。上述措施中有相当一部分是设计用于传统计算机网络IT系统的,并非专门针对管道运输公司所谓的“运营技术”(OT)——即对管道安全阀、水泵等管道运输设备进行监控的硬件或软件。一位能源行业集团的管理人员说,安全补丁和多因素身份验证并不适用于工业技术行业。他认为,安全补丁发布的再快也无法随时获取。
另外,运输安全管理局新规留给运营公司对其所用工业设备进行密码重置的时间也是不合适的。根据规定,运营公司只有几个月时间对数千个控制着管道阀门和水泵闭合的控制盒进行重置操作。但大部分控制盒无法远程操作,只能派出人员到现场作业。而且由于生产线关闭,老旧操作盒的更换也有很大难度。面对这样的局面,运输安全管理局也不得不给很多家公司延期,让他们有充足时间完成规定提出的要求。
标准的网络安全工具不能用来保证特种行业运营技术的安全,”曾任国土安全部工业控制系统网络应急响应小组组长的Tenable网络安全公司运营技术副总监马蒂・爱德华兹(Marty Edwards)说。另一位拥有情报机构工作经验的网络安全专家李(Lee)也认为,运输安全管理局制定的新安全规定“过于强调规范性”。但“通过粘贴复制行为把大量IT业安全控制措施移植来保护运营技术的安全,恐怕会迎来毁灭性后果”。
运输安全管理局高级官员在回应上述批评表示,“我不得不承认,他们说的某些观点是正确的。确实有些规定会对运营造成干扰,进而造成更负面的影响。”


亡羊补牢却又“招黑”


图片

运输安全管理局承认本部门的管道网络安全计划开局不顺。局内一名高级官员称,“我们已从中吸取了教训。”美国国土安全部(DHS)一名高级官员表示,拜登政府在意识到浓烈的行业不满情绪后,已“不再阻拦我们向公司企业寻求意见”。由于行业与政府之间对话的敏感性,上述两官员在接受采访时都要求匿名。美国国会对运输安全管理局维护管道运输安全的努力引发众怨一事也有所了解。众议院能源与商业委员会领袖去年甚至建议把管道网络安全监管职责移交给能源部。
为此,运输安全管理局试图采取一些亡羊补牢的措施。
比如,如果管道公司认为运输安全管理局制定的方案不切合实际,后者允许他们提出申请,用本公司技术手段达成运输安全管理局制定的安全目标。但现状却让运输安全管理局再次被吐槽——审批效率低得超出想象
管道公司已提交了370份希望使用“替代措施”的申请,但运输安全管理局只批准了其中5份。管道运输行业管理者认为,上述局面出现的原因,部分在于运输安全管理局缺乏有充足的人手对申请进行快速处理。根据网络安全专家李和管道运输公司高管的说法,运输安全管理局总部只有一个人负责申请审批,各地分局负责这项工作的人员少之又少。
“他们人手不够,”要求匿名的管道公司高管说。“没有几周甚至几个月时间,别想从他们那里收到回复。”
运输安全管理员官员辩解称,审批进度慢是完全可以理解的。局内本有24名全职人员和合同雇员负责处理替代措施申请审批。但申请数量多得超出预期,工作因此拖延下来。“审批工作的进度确实不如预期的那样快,”他说。“但这样的进度是为了保证我们批准或否定的申请经过了全面审查。”该官员说,目前经过运输安全管理局审查的申请已超过170件,还有大约200件正在审查中。在5个得到批准的申请之外,还有数十份申请被否决。不过根据管道公司高管的说法,运输安全管理局的官员有时会告诉公司某个正在接受审查的申请因为缺少信息而无法得出最终决定。“但他们又不会透露他们需要的额外信息具体都包括什么。”
没有一家管道公司认为政企之间的互动是积极的,”网络安全专家李说。“这种看法让其他很多为促进网络安全而做的努力付之东流。”


从自愿性指导方针转向强制性

规章制度需要时间


图片

自俄乌战争爆发以来,拜登政府针对俄罗斯网络攻击的担心日甚一日,因而愈发急于对美国关键基础设施的数字安全水平进行升级。但至今为止,被政府定义的16个关键基础设施行业并没有必须遵守的强制性网络安全标准。大部分只是被要求遵守某些政府机构制定的部门规章,而这些政府机构又是基本上没有行业经验的“菜鸟”。
运输安全管理局此次出台管道网络安全规定的尝试可以视为美国政府对规章拟定的试水,目的是验证自己是否有能力制定一份安全标准,既能阻止黑客入侵、维护系统安全,又能适应复杂独特设备运行所需的灵活性。
结果显然是不成功的,因为政企之间缺乏并没有建立起卓有成效的沟通与合作模式。在今年2月16日与多家管道公司的会议上,运输安全管理局局长戴维・皮考斯克(David Pekoske)承认本局应该与公司在“替代措施”信息共享方面做得更好一些。
不过管道运输公司方面并未因局长的让步而领情。他们认为,美国境内的管道运输网络当初铺设时耗资巨大,然而却没有将网络安全问题纳入考虑。现在让他们实施新的网络安全保护措施是强人所难。
管道运输公司方面希望政府部门能够再出台一部崭新的、结果导向型规章,帮助他们借助自己选择的手段来达到政府提出的网络安全要求。新规章要采取更灵活模式。例如,运输安全管理局不应该僵硬地要求管道公司采取某些具体措施,切断运营网络与提供其他服务(比如电子邮件、网页浏览或工资处理)的计算机网络之间的联络。他们只应该简单地指导管道公司要保证上述两套系统之间的充分隔离,以防止黑客从人力资源系统跳转进管道控制系统。具体的隔离措施可以留给管道公司自己制定。
参加2月16日会议的管道公司高管透露,皮考斯科对采用上述更灵活的模式表示赞同。
不过国土安全部高级官员表示,用更灵活的方案替代目前的管道公司安全规章需要很长时间。政府方面目前正对在其他监管项目中取得的经验教训进行仔细斟酌,以便为管道运输公司及其他运输安全管理局治下的基础设施制定新的、永久性规章。
网络安全专家李说,一套全面详实的规章拟定流程再加上与行业的充分沟通一般需要花费18至24个月时间,抓紧一点也需要一年时间。这期间,政府部门需要确定其对网络安全的预期,相关公司应该就达成该预期的方式提出建议。双方在合作的基础上撰写最终的规章方案。
另外,政府还可能根据新规章以设置一名信息安全官,或制定突发事件应急计划并定期演练。网络安全专家李认为这些措施虽然很常规,但也是可以接受的。因为它们“不影响公司企业做正确的事情和决定”。



文章来源: 互联网安全内参

参考来源:politico.com

昵称:
内容:
验证码:
提交评论
评论一下