美国政府发布运输管道网络安全指令第三版

安全内参7月31日消息，美国运输安全管理局（TSA）26日宣布，更新石油和天然气管道所有者和运营者的网络安全要求。2021年Colonial 管道公司遭到破坏性网络攻击后，美国运输安全管理局发布安全指令，要求管道业主和运营商采取措施加强网络攻击防御。2022年7月，美国运输安全管理局更新了这些要求，以便更加灵活地实现既定目标。一年后，该机构又发布了更新版本，提出了额外要求。美国运输安全管理局管理员David Pekoske表示：“早期版本要求制定流程和网络安全实施计划。最新版本要求运营商对这些计划进行测试和评估。”具体而言，所有者和运营者现在需要每年向美国运输安全管理局提交最新网络安全评估计划，由后者进行审批。他们还必须提供特定网络安全措施的评估和审计时间表，并提交年度报告，汇报上一年度评估结果。之前规定要求，相关组织制定并保持网络安全事件响应计划。现在，他们必须每年对事件响应计划中至少两个目标进行测试。对于那些没有任何关键网络系统的组织，最新网络安全要求也有一些变化。工业网络安全公司Dragos的网络风险总监Jason Christopher表示：“和上一版一样，美国运输安全管理局此次针对石油和天然气管道网络安全更新安全指令，要求采取基于绩效的措施，而非照本宣科。此外，管道公司可以将这些措施纳入现有的网络安全实施计划，从而实现正确的结果，并适应系统和运营上的差异。这些变化，说明美国运输安全管理局有了显著进步，可以兼顾整个领域和个别公司的独特需求。”“这次更新还为所有者和运营者提供了重要的灵活度，他们可以继续采用已经执行的各种行业标准，如NIST网络安全框架和ISA/IEC 62443系列标准。新版要求关注持续监测和演练实施，批准使用补充性控制措施。这对所有管道业主和运营商来说都是重大的改进。”“鉴于更新的指令增加了审计语言和报告要求，我们希望美国运输安全管理局持续提高这些要求与其他法规框架的一致性。这样将给受到多个监管机构监管的关键基础设施业主和运营商减负。我们也希望美国运输安全管理局在未来更新、修订安全指令时，继续与私营部门和行业专家合作。”