美國政府發布運輸管道網絡安全指令第三版

安全內參7月31日消息，美國運輸安全管理局（TSA）26日宣布，更新石油和天然氣管道所有者和運營者的網絡安全要求。2021年Colonial 管道公司遭到破壞性網絡攻擊后，美國運輸安全管理局發布安全指令，要求管道業主和運營商采取措施加強網絡攻擊防御。2022年7月，美國運輸安全管理局更新了這些要求，以便更加靈活地實現既定目標。一年后，該機構又發布了更新版本，提出了額外要求。美國運輸安全管理局管理員David Pekoske表示：“早期版本要求制定流程和網絡安全實施計劃。最新版本要求運營商對這些計劃進行測試和評估。”具體而言，所有者和運營者現在需要每年向美國運輸安全管理局提交最新網絡安全評估計劃，由后者進行審批。他們還必須提供特定網絡安全措施的評估和審計時間表，并提交年度報告，匯報上一年度評估結果。之前規定要求，相關組織制定并保持網絡安全事件響應計劃。現在，他們必須每年對事件響應計劃中至少兩個目標進行測試。對于那些沒有任何關鍵網絡系統的組織，最新網絡安全要求也有一些變化。工業網絡安全公司Dragos的網絡風險總監Jason Christopher表示：“和上一版一樣，美國運輸安全管理局此次針對石油和天然氣管道網絡安全更新安全指令，要求采取基于績效的措施，而非照本宣科。此外，管道公司可以將這些措施納入現有的網絡安全實施計劃，從而實現正確的結果，并適應系統和運營上的差異。這些變化，說明美國運輸安全管理局有了顯著進步，可以兼顧整個領域和個別公司的獨特需求。”“這次更新還為所有者和運營者提供了重要的靈活度，他們可以繼續采用已經執行的各種行業標準，如NIST網絡安全框架和ISA/IEC 62443系列標準。新版要求關注持續監測和演練實施，批準使用補充性控制措施。這對所有管道業主和運營商來說都是重大的改進。”“鑒于更新的指令增加了審計語言和報告要求，我們希望美國運輸安全管理局持續提高這些要求與其他法規框架的一致性。這樣將給受到多個監管機構監管的關鍵基礎設施業主和運營商減負。我們也希望美國運輸安全管理局在未來更新、修訂安全指令時，繼續與私營部門和行業專家合作。”