美國運輸安全管理局(TSA)近日提出新法規草案,計劃將現行針對鐵路與管線營運商的臨時網路事件通報指令正式立法,同時要求業者制定
網路風險管理(CRM)計畫。此舉為 2021 年 Colonial Pipeline 遭受勒索軟體攻擊後所實施的一系列安全指令之延續。
TSA 署長 David Pekoske 表示:「TSA 一直與業界夥伴密切合作,以提升國家關鍵運輸基礎設施的網路安全韌性。本次提案旨在深化這項合作成果,進一步強化地面運輸相關利害關係人的網路安全態勢。」
根據發布的聯邦公報,新規定將影響「特定管線和鐵路業者」,並對部分巴士營運商施以較低要求。法規重點包括:
- 強制實施 TSA 監督的網路風險管理計畫,須涵蓋:
- 年度網路安全評估
- 識別未解決弱點的評估計畫
- 網路安全作業實施計畫,明確定義網路安全負責人、關鍵系統防護措施等
- 要求向網路安全暨基礎設施安全局(CISA)通報網路事件
TSA 估計新法規將影響約 300 家地面運輸業者,包括:
- 620 家貨運鐵路中的 73 家
- 92 家公共運輸與客運鐵路中的 34 家
- 71 家長途巴士業者
- 2,000 多個管線設施中的 115 個
預計未來十年業界執行成本與 TSA 監督成本將達 21 億美元。TSA 發言人指出,此提案若通過將使現行網路安全指令永久化,以因應國家級行為者對運輸系統前所未有的威脅。
值得注意的是,
該法規明確提及 2021 年 5 月 Colonial Pipeline 勒索軟體事件是促使 TSA 加強網路安全監管的關鍵事件。該事件導致美國東岸 5,500 英里石油管線停擺一週
。TSA 警告,由於俄羅斯、中國等國家持續對美國關鍵基礎設施發動網路攻擊,再加上人工智慧可能加劇攻擊的影響,未來網路安全事件與勒索軟體攻擊可能持續增加。
TSA 將徵詢受監管產業意見至 2 月 5 日。專家指出,新規定將有助於強化地面運輸產業的網路安全防護能力,但業界對於實施細節仍有諸多顧慮需要進一步討論。
本文轉載自therecord。