美国国土安全部星期五推出了针对管道所有者和运营商的新的网络安全规定,这标志着管道行业取得了胜利。去年,管道行业一直在批评用这些新规定取代的指令。
重要原因:管道行业是网络安全法规最严格的行业之一,其他行业的监管机构在起草自己的网络法规之前,也在密切关注这一事件。
新闻驱动力:隶属于国土安全部(DHS)的运输安全管理局(Transportation Security Administration)去年发布了第一套网络安全规则,此前殖民管道(Colonial Pipeline)遭到勒索软件攻击,导致管道关闭数日。
- 但运营商很快予以反驳,称许多新规定没有考虑到他们错综复杂的物理基础设施,可能会造成延误管道运营进一步中断。
细节:新规定更强调TSA希望从运营商那里得到的安全结果,而不是运营商为实现这些目标应该制定的流程。
他们的意思是:“我们认识到每个公司都是不同的,我们已经开发了一种方法来适应这一事实,并通过持续的监测和审计来评估所需的网络安全结果的成就,”TSA局长David Pekoske在一份声明中说。
- “TSA绝对认识到,在某些情况下,结果比总统更适合缓解潜在的网络攻击埃森哲网络业务高级董事总经理吉姆·吉恩(Jim Guinn)告诉Axios。
是的,但是:与管道运营商合作的网络安全顾问告诉Axios,随着新规则的生效,仍有一些改进的空间。
- Guinn说,这些规定没有要求管道所有者和运营商为他们使用的工具和技术创建清单,这可能会使他们更难知道他们容易受到哪些安全风险的影响。
接下来会发生什么:TSA的新规定将于7月27日生效,有效期为一年。然后,该机构计划接受行业的意见,并启动正式的机构规则制定程序,制定永久性规则。
