美國油氣管道網絡安全監管的痛點 - 網安 - 專業的網絡安全產業、社區、知識平臺

2021年5月7日，運營美國最大燃料管道系統的Colonial Pipeline公司披露其遭受網絡攻擊。它的業務系統感染了勒索軟件，這種惡意軟件會鎖定系統直到支付贖金，通常以加密貨幣的形式。作為預防措施，Colonial關閉了其管道運營，嚴重限制了東海岸獲得汽油和噴氣燃料的機會。Colonial公司花了幾天的時間才能夠恢復正常運營。該事件是迄今為止針對美國能源基礎設施遭遇的最嚴重的勒索軟件攻擊。

Colonial Pipeline公司遭遇勒索軟件攻擊之前，石油和天然氣管道的網絡安全法規在很大程度上是自愿的。多年來，管道所有者和運營商可以選擇是否遵循運輸安全管理局 (TSA)提出的最佳實踐建議。然而，Colonial Pipeline勒索軟件攻擊事件無疑已成為管道網絡安全監管的轉折點。

由于與針對管道基礎設施的勒索軟件攻擊相關的巨大風險以及應對國會日益增長的壓力，TSA發布了兩項強制性指令以加強管道的網絡安全。

第一個指令稱為 SD-01，要求管道所有者和運營商向網絡安全和基礎設施安全局 (CISA) 報告網絡安全事件，指定一名內部網絡安全協調員隨時可用，審查當前措施，并向TSA和CISA報告任何差距和相關的補救措施。

第二條指令SD-02 最初并未公開，而是通過《華盛頓郵報》的信息自由法案要求獲得的。SD-02 的重點是要求采取特定的保護措施來保護信息技術 (IT) 和運營技術 (OT) 免受已知的網絡攻擊，例如勒索軟件。該指令要求管道運營商和所有者“實施特定的緩解措施，以防止勒索軟件攻擊和其他對信息技術和運營技術系統的已知威脅，制定和實施網絡安全應急和恢復計劃，并進行網絡安全架構設計審查。”

乍一看，這兩項強制性指令是一個受歡迎的措施，可確保管道所有者和運營商實施所需的基本保障措施，以抵御機會主義和出于經濟動機的網絡攻擊，因為由于美國依賴不間斷的石油和燃氣供應。然而，需要承認當前方法的某些弱點。作者將在即將于2023年初發表在《休斯頓法律評論》上的題為“管道網絡安全”的文章中討論其中的許多弱點分享在這里。列出了當前管道網絡安全監管環境中的一些主要問題或痛點。

第一個弱點：作為管道網絡安全監管機構的TSA不合格

對于許多觀察家來說，TSA是負責確保石油和天然氣管道安全的一個實體，這有點令人驚訝。事實上，TSA可能不是承擔這項重要任務的合適實體。該機構因缺乏有效監管管道環境中的網絡安全所需的專業知識和工具而受到批評。例如，尚不清楚TSA在頒布指令時是否充分咨詢了行業利益相關者，或者它是否具備制定有效網絡安全監管制度的專業知識。

一些觀察家還批評TSA和CISA 在緊急授權下頒布指令，這使他們能夠通過傳統的規則制定過程放棄行業投入。這些指令也沒有提供給國會。此外，政府問責辦公室（GAO）指出，TSA沒有審查和修訂其指導方針的程序，因此，TSA“無法確保其指導方針反映物理安全和網絡安全的最新已知標準和最佳實踐，或解決動態安全威脅管道面臨的環境。”

同樣值得注意的是，TSA缺乏執行其管道網絡安全任務所需的人力資本。該機構在2012年和2013年有14名全職員工從事管道網絡安全工作，2014年有1名員工，2018 年只有6 名員工。2019 年，TSA 雇傭了5名管道安全人員，沒有一個具有網絡安全專業知識。TSA 此前曾承認，它缺乏充分執行其管道網絡安全任務的人員。

最后，管道運營商和所有者報告說，TSA似乎缺乏必要的專業知識來監管石油和天然氣管道行業的網絡安全。缺乏專業知識和人員短缺導致無法對管道網絡安全進行關鍵安全審查：企業安全審查 (CSR) 和關鍵設施安全審查。

TSA不適合解決管道網絡安全問題，導致該機構與聯邦能源監管委員會 (FERC) 之間出現一些緊張關系，FERC 是能源部內負責電力行業網絡安全監管的獨立機構。兩名FERC委員對TSA作為管道網絡安全監管機構的充分性表示擔憂。他們的觀察包括呼吁建立一個不同的機構來監管管道網絡安全，該機構“充分了解能源部門并擁有足夠的資源來應對這一日益嚴重的威脅”。同樣，拜登政府宣布支持將管道網絡安全從TSA轉移到FERC。一些眾議院議員甚至提出了《能源產品可靠性法案》，以允許 FERC 監管管道網絡安全。

第二個弱點：信息共享不是靈丹妙藥

第二個弱點與第一個指令的內容有關。SD-01指令依賴于信息共享機制，這可能不是解決管道網絡安全威脅的靈丹妙藥。

TSA針對管道所有者和運營商的一項指令創建了一個信息共享制度，要求管道所有者和運營商指定一名網絡安全協調員。指定的協調員將作為管道實體內網絡安全事務的主要聯系人，并與TSA和CISA 進行溝通。該指令要求網絡安全協調員向 TSA和CISA報告任何影響管道所有者或運營商IT或OT的“網絡安全事件”。

這種網絡安全監管模式被稱為“信息共享”，是網絡安全監管的兩種主要模式之一。另一個是威懾。雖然信息共享有其吸引力，但它通常被視為不足以解決潛在的網絡安全問題。根據Andrea Matwyshy 的說法，信息共享和威懾“不是最適合”當今的威脅和安全弱點。有觀點認為，美國的網絡安全監管結構應該考慮到大多數網絡安全問題的“互惠安全漏洞”性質，這是“私營部門和公共部門的信息安全密不可分的現實現實”。換言之，私營部門的脆弱性會影響公共部門，反之亦然。因此，不可能將網絡安全問題孤立給一個部門或參與者。

互惠安全漏洞是一個概念，也應該指導當今的管道網絡安全工作。大多數管道運營商或所有者都是私營實體，其脆弱性可能會嚴重影響公共和公共部門。因此，信息共享是不夠的，應輔以更全面的工具。例如，聯邦政府應與管道部門共享關鍵威脅信息，以迅速有效地修復漏洞。

更有效的信息共享方法是使管道網絡安全監管更符合多中心治理。正如斯科特·沙克爾福德（Scott Shackelford）和其他人所闡明的那樣，多中心治理是“一種治理體系，在該體系中，來自重疊管轄區（或權威中心）的當局相互作用以確定這些管理機構以及受這些管轄單元管轄的公民的條件。被授權采取行動，以及出于公共目的對其活動施加的限制。” 在管道行業，這將要求管道運營商和所有者與其他能源部門參與者分享威脅、風險和其他相關信息，反之亦然。電力、天然氣和石油是面臨類似威脅的相互關聯的行業。

第三個弱點：過度依賴規范性標準

TSA管道網絡安全措施指令(SD-02)過于依賴規范性標準，這意味著TSA希望關鍵管道運營商和所有者采取特定的措施，以確保其IT和OT的網絡安全。雖然說明性標準似乎很有吸引力，因為它們詳細規定了需要采取哪些措施來確保合規，但從網絡安全的角度來看，如果它也包括基于性能的標準，這種方法將更強。

為了在管道行業實現更高的網絡安全，TSA必須在其指令中納入性能標準，要求管道運營商和所有者實現某些目標，同時讓他們可以自由選擇實現目標的手段和方法。基于性能的標準“根據所需結果說明要求，并帶有驗證一致性的標準，但沒有說明實現所需結果的方法。”

在聯邦網絡安全監管中使用基于性能的標準并非史無前例。例如，《聯邦信息安全管理法》和《健康保險流通與責任法》除了規定性標準外，還有基于性能的網絡安全標準。

管道網絡安全的未來

國會將最終決定TSA是否是監管管道網絡安全的合適機構。國會可能決定資助TSA并確保其擁有必要的專業知識和人力資本來有效監管管道網絡安全。然而，目前關于是否可以指定一個更合適的機構來監管管道網絡安全的爭論仍在繼續。值得注意的是，這場辯論早于Colonial Pipeline勒索軟件攻擊。

就這一爭議問題而言，目前有三種可能的方法。

首先，FERC 可以監管管道網絡安全。這可以通過將《天然氣法》重新解釋為賦予FERC 對“州際貿易中的天然氣運輸”的管轄權來實現。這將有效地將管道安全從 TSA 轉移到能源部。

其次，FERC可以認證一個新的實體，即能源產品可靠性組織 (EPRO)，以規范管道網絡安全。根據題為“能源產品可靠性法案”的擬議法案，新的EPRO將制定標準并對管道所有者和運營商強制執行。這種方法旨在將TSA的權力重新集中在物理安全上，同時創建一個新實體，專門負責監管管道網絡安全。

第三，CISA代替TSA可以監管管道網絡安全。有觀點認為，CISA已經在監督16個關鍵基礎設施部門，但尚不清楚CISA是否能夠解決管道部門的復雜問題。此外，CISA沒有任何關鍵基礎設施的監管機構。它只能發布指導和促進協作，包括通過信息共享。

授權能源部監管管道網絡安全

雖然這三個提議看起來可能不同，但它們都在同一點上，即TSA目前無法有效監管管道網絡安全。另一種選擇是讓能源部取代TSA的位置。首先，該部門可能更適合完成這項任務，因為其能源部門的網絡安全法規一直是強制性的。在管道環境中情況并非如此。

當考慮到電力和管道部門之間的相互依賴關系時，讓能源部監管管道網絡安全是一個有說服力的前景。電力部門越來越依賴天然氣，這意味著管道系統中的任何漏洞都會嚴重影響電力部門。任何影響管道系統的漏洞都會反過來影響整個能源部門，反之亦然。例如，管道泵站依賴于可靠的電力來源。任何影響電力供應的網絡安全事件也將阻礙管道發揮其作用的能力。

即便如此，能源部門的網絡安全法規也并非沒有受到批評。然而，FERC的專業知識和記錄可能在管道環境中被證明是有用的，對該機構權限的適當修改可能會為管道行業帶來更好的網絡安全監管形式。

還有一些提議將其他機構和實體納入管道網絡安全的不同方面。最近提出的法案包括授權能源部長在管道網絡安全方面發揮一定作用的提案，要求FERC與 TSA就網絡安全和州際天然氣管道許可證申請進行磋商的提案，以及授權能源部的其他法案，美國海岸警衛隊和國家標準與技術研究所以及管道和危險材料安全管理局在管道網絡安全中發揮作用。如果這些重疊的權限會導致相互矛盾或混淆的指導，則可能會引起關注。

總體而言，似乎TSA應該擁有一些管道網絡安全權限，或者根本沒有。除非 TSA有足夠的資金和人員配備，否則替代提案似乎在未來會占上風，特別是考慮到兩項TSA指令的不完整性質以及石油和天然氣管道部門面臨的許多可能的災難性風險。

作者簡介

Ido Kilovaty是塔爾薩大學法學院Frederic Dorwart Endowed法學助理教授，也是新美國網絡安全政策研究員。此前，他是耶魯大學法學院全球法律挑戰中心的網絡研究員和信息社會項目的專職研究員。他的主要研究領域包括網絡安全法、隱私、新興技術和國際法；他的大部分工作側重于通過安全驅動的立法和監管來加強網絡安全。

原文鏈接：

https://www.lawfareblog.com/cybersecuring-pipeline