美国国土安全部 (DHS) 发布了一份备忘录,详细说明了针对管道所有者和运营商的新网络安全规则,管道行业认为这一决定是一个胜利。
安全指令 Pipeline-2021-02C (SD02C) 适用于已由运输安全管理局 (TSA) 通知其“管道系统或设施”的危险液体和天然气管道或液化天然气设施的运营商或所有者至关重要,”备忘录指出。 新规则将于 2022 年 7 月 27 日生效。TSA 是 DHS 的一部分。
根据新的 SD02C 指南,管道所有者和运营商必须“1) 建立并实施经 TSA 批准的网络安全实施计划; 2) 制定和维护网络安全事件响应计划,以降低运营中断的风险; 3) 建立网络安全评估计划,并提交年度计划,描述所有者/运营商将如何评估网络安全措施的有效性。”
管道所有者和运营商必须在 SD02C 生效日期后 90 天提交网络安全实施计划以供 TSA 批准。 一旦 TSA 批准该计划,运营商和所有者必须在计划的时间表内实施和维护“所有措施”。
所有者和运营商必须实施网络分段策略和控制措施以防止运营中断,实施访问控制措施,实施持续监控和检测策略以检测、预防和响应网络安全威胁,并通过应用安全措施降低未打补丁的系统被利用的风险操作系统、固件、驱动程序等的补丁和更新。
制定指南在去年对 Colonial Pipeline 的勒索软件攻击导致其关闭数天后,TSA 为管道运营商和所有者发布了一套网络安全规则。
然而,管道行业迅速反击,认为这些规则是一刀切的方法,不够灵活。
由于管道运营商可以通过多种方式设置其管道系统和网络安全基础设施,因此对于业内许多人来说,拥有一套单一的规则是一项挑战。 运营商还辩称,这些规则缺乏对管道基础设施复杂性的理解,甚至可能最终引发进一步的中断。
新的 SD02C 规则侧重于 TSA 期望从管道运营商那里获得的安全结果,而不是运营商为实现这些结果而必须遵循的流程。 在 7 月 21 日的新闻稿中,TSA 管理员 David Pekoske 表示,新规则是在考虑到管道运营商的担忧后制定的。
他写道:“我们认识到每家公司都是不同的,我们开发了一种适应这一事实的方法,并通过持续监控和审计来评估所需网络安全成果的实现情况。”
