美國管道網絡安全監管遇到重大障礙
- 2021年科洛尼爾管道運輸公司遭遇網絡攻擊,致使美國多州進入緊急狀態,美國國家運輸安全管理局因此頒布了首部針對管道行業的強制性網絡安全指令,以替代先前的自愿性指導文件;
- 但這“第一把火”效果并不太好,美國管道行業表示,國家運輸安全管理局的人員短缺和僵硬要求,正在削弱拜登政府保護美國管道免受黑客攻擊的能力。
美國政府要求管道公司達到最基本網絡安全標準的首次嘗試正在遭遇重重困難。對白宮來說這不是個好消息,因為他們正在設法加強對各類關鍵基礎設施的網絡安全防護。后者正是目前國外黑客的首選目標。
TSA正在把事情搞砸
管道運輸公司認為,美國國家運輸安全管理局(TSA,下稱“運輸安全管理局”)制定的網絡安全規定莫名其妙且可操作性不強,一旦付諸實施甚至可能危及管道安全與油料輸送的正常展開。其他能源領域的公司以及網絡安全專家對上述說法表示認可,稱要求制定替代方案的行業呼聲洶涌而至,已令運輸安全管理局的網絡安全團隊焦頭爛額。
一名要求匿名的管道運輸公司老板表示,運輸安全管理局的網絡安全規定“頒布的非常匆忙”,燃料輸送和供應很有可能會因為管道公司被強迫遵守某些考慮不周的要求而受到干擾。不僅管道運輸公司在批評運輸安全管理局的規定不夠靈活,就連行業外的相關人士也認為該局頒布的規定過于僵化和教條,對管道運輸系統來說并不適用。
與關鍵基礎設施公司有業務往來的工控安全公司Dragos CEO羅伯特?M?李表示,“無論從哪個角度看,運輸安全管理局都在把事情搞砸。茲事體大,能夠從多個方面證明有哪些事情是監管程序不能做的。”
美國國家運輸安全管理局最為外界所知的職能是保證機楊安全,但公共交通系統、港口和管道運輸等行業的安全維護也在其職能范圍之內。他們頒布的安全新規大部分是建立在保護個人計算機的基礎上,而非管道輸送控制系統。這讓相關公司感覺摸不著頭腦——不知道該怎么做才能遵守這些規定。還有一些規定要求花費經年累月的時間和相對高昂的成本對相關系統進行升級,但這將不可避免地干擾管道公司的正常運營。
根據管道公司和安全專家的說法,上述矛盾最終很可能破壞公司企業與監管部門之間一度和諧的合作關系,把局面搞得一團糟。
規范性制度對管道運輸行業并不適用
管道運輸是美國最重要的關鍵基礎設施之一。大約三分之二的美國民眾在日常生活中都離不開通過管道輸送的油氣產品。沒有這些產品,汽車就會趴窩,醫院、家庭和軍事基地就會陷入黑暗。美國全國范圍內布設的管道總長度超過260萬英里,運營商包括Enbridge、Kinder Morgan、Williams Cos.等公司——如果不遭遇大規模抗議、惡性事件或網絡攻擊,大多數美國人或許永遠聽不到這些名字。
2021年5月,科洛尼爾管道運輸公司遭遇網絡攻擊。受此影響,美國東海岸大部分地區的天然氣供應出現暫時性短缺。科洛尼爾公司松懈的網絡安全管理水平倍受指責。運輸安全管理局因此頒布了本部門首部強制性網絡安全規章,以替代先前的自愿性指導方針。
根據這份2021年7月出臺的規章,管道運輸公司應該啟用三十多種普通型網絡安全防護措施,其中包括每周病毒查殺、及時安全更新、設置功能強大的防火墻以阻止惡意軟件入侵以及采用多因素身份驗證。
但行業代表認為,運輸安全管理局、網絡安全與基礎設施安全局(CISA)制定出臺的規章制度未能考慮到工業控制系統(特別是管道運輸行業控制系統)的獨特性。上述措施中有相當一部分是設計用于傳統計算機網絡IT系統的,并非專門針對管道運輸公司所謂的“運營技術”(OT)——即對管道安全閥、水泵等管道運輸設備進行監控的硬件或軟件。一位能源行業集團的管理人員說,安全補丁和多因素身份驗證并不適用于工業技術行業。他認為,安全補丁發布的再快也無法隨時獲取。
另外,運輸安全管理局新規留給運營公司對其所用工業設備進行密碼重置的時間也是不合適的。根據規定,運營公司只有幾個月時間對數千個控制著管道閥門和水泵閉合的控制盒進行重置操作。但大部分控制盒無法遠程操作,只能派出人員到現場作業。而且由于生產線關閉,老舊操作盒的更換也有很大難度。面對這樣的局面,運輸安全管理局也不得不給很多家公司延期,讓他們有充足時間完成規定提出的要求。
“標準的網絡安全工具不能用來保證特種行業運營技術的安全,”曾任國土安全部工業控制系統網絡應急響應小組組長的Tenable網絡安全公司運營技術副總監馬蒂?愛德華茲(Marty Edwards)說。另一位擁有情報機構工作經驗的網絡安全專家李(Lee)也認為,運輸安全管理局制定的新安全規定“過于強調規范性”。但“通過粘貼復制行為把大量IT業安全控制措施移植來保護運營技術的安全,恐怕會迎來毀滅性后果”。
運輸安全管理局高級官員在回應上述批評表示,“我不得不承認,他們說的某些觀點是正確的。確實有些規定會對運營造成干擾,進而造成更負面的影響。”
亡羊補牢卻又“招黑”
運輸安全管理局承認本部門的管道網絡安全計劃開局不順。局內一名高級官員稱,“我們已從中吸取了教訓。”美國國土安全部(DHS)一名高級官員表示,拜登政府在意識到濃烈的行業不滿情緒后,已“不再阻攔我們向公司企業尋求意見”。由于行業與政府之間對話的敏感性,上述兩官員在接受采訪時都要求匿名。美國國會對運輸安全管理局維護管道運輸安全的努力引發眾怨一事也有所了解。眾議院能源與商業委員會領袖去年甚至建議把管道網絡安全監管職責移交給能源部。
為此,運輸安全管理局試圖采取一些亡羊補牢的措施。
比如,如果管道公司認為運輸安全管理局制定的方案不切合實際,后者允許他們提出申請,用本公司技術手段達成運輸安全管理局制定的安全目標。但現狀卻讓運輸安全管理局再次被吐槽——審批效率低得超出想象。
管道公司已提交了370份希望使用“替代措施”的申請,但運輸安全管理局只批準了其中5份。管道運輸行業管理者認為,上述局面出現的原因,部分在于運輸安全管理局缺乏有充足的人手對申請進行快速處理。根據網絡安全專家李和管道運輸公司高管的說法,運輸安全管理局總部只有一個人負責申請審批,各地分局負責這項工作的人員少之又少。
“他們人手不夠,”要求匿名的管道公司高管說。“沒有幾周甚至幾個月時間,別想從他們那里收到回復。”
運輸安全管理員官員辯解稱,審批進度慢是完全可以理解的。局內本有24名全職人員和合同雇員負責處理替代措施申請審批。但申請數量多得超出預期,工作因此拖延下來。“審批工作的進度確實不如預期的那樣快,”他說。“但這樣的進度是為了保證我們批準或否定的申請經過了全面審查。”該官員說,目前經過運輸安全管理局審查的申請已超過170件,還有大約200件正在審查中。在5個得到批準的申請之外,還有數十份申請被否決。不過根據管道公司高管的說法,運輸安全管理局的官員有時會告訴公司某個正在接受審查的申請因為缺少信息而無法得出最終決定。“但他們又不會透露他們需要的額外信息具體都包括什么。”
“沒有一家管道公司認為政企之間的互動是積極的,”網絡安全專家李說。“這種看法讓其他很多為促進網絡安全而做的努力付之東流。”
從自愿性指導方針轉向強制性,規章制度需要時間
自俄烏戰爭爆發以來,拜登政府針對俄羅斯網絡攻擊的擔心日甚一日,因而愈發急于對美國關鍵基礎設施的數字安全水平進行升級。但至今為止,被政府定義的16個關鍵基礎設施行業并沒有必須遵守的強制性網絡安全標準。大部分只是被要求遵守某些政府機構制定的部門規章,而這些政府機構又是基本上沒有行業經驗的“菜鳥”。
運輸安全管理局此次出臺管道網絡安全規定的嘗試可以視為美國政府對規章擬定的試水,目的是驗證自己是否有能力制定一份安全標準,既能阻止黑客入侵、維護系統安全,又能適應復雜獨特設備運行所需的靈活性。
但結果顯然是不成功的,因為政企之間缺乏并沒有建立起卓有成效的溝通與合作模式。在今年2月16日與多家管道公司的會議上,運輸安全管理局局長戴維?皮考斯克(David Pekoske)承認本局應該與公司在“替代措施”信息共享方面做得更好一些。
不過管道運輸公司方面并未因局長的讓步而領情。他們認為,美國境內的管道運輸網絡當初鋪設時耗資巨大,然而卻沒有將網絡安全問題納入考慮。現在讓他們實施新的網絡安全保護措施是強人所難。
管道運輸公司方面希望政府部門能夠再出臺一部嶄新的、結果導向型規章,幫助他們借助自己選擇的手段來達到政府提出的網絡安全要求。新規章要采取更靈活模式。例如,運輸安全管理局不應該僵硬地要求管道公司采取某些具體措施,切斷運營網絡與提供其他服務(比如電子郵件、網頁瀏覽或工資處理)的計算機網絡之間的聯絡。他們只應該簡單地指導管道公司要保證上述兩套系統之間的充分隔離,以防止黑客從人力資源系統跳轉進管道控制系統。具體的隔離措施可以留給管道公司自己制定。
參加2月16日會議的管道公司高管透露,皮考斯科對采用上述更靈活的模式表示贊同。
不過國土安全部高級官員表示,用更靈活的方案替代目前的管道公司安全規章需要很長時間。政府方面目前正對在其他監管項目中取得的經驗教訓進行仔細斟酌,以便為管道運輸公司及其他運輸安全管理局治下的基礎設施制定新的、永久性規章。
網絡安全專家李說,一套全面詳實的規章擬定流程再加上與行業的充分溝通一般需要花費18至24個月時間,抓緊一點也需要一年時間。這期間,政府部門需要確定其對網絡安全的預期,相關公司應該就達成該預期的方式提出建議。雙方在合作的基礎上撰寫最終的規章方案。
另外,政府還可能根據新規章以設置一名信息安全官,或制定突發事件應急計劃并定期演練。網絡安全專家李認為這些措施雖然很常規,但也是可以接受的。因為它們“不影響公司企業做正確的事情和決定”。
