2021年5月7日,运营美国最大燃料管道系统的Colonial Pipeline公司披露其遭受网络攻击。它的业务系统感染了勒索软件,这种恶意软件会锁定系统直到支付赎金,通常以加密货币的形式。作为预防措施,Colonial关闭了其管道运营,严重限制了东海岸获得汽油和喷气燃料的机会。Colonial公司花了几天的时间才能够恢复正常运营。该事件是迄今为止针对美国能源基础设施遭遇的最严重的勒索软件攻击。

Colonial Pipeline公司遭遇勒索软件攻击之前,石油和天然气管道的网络安全法规在很大程度上是自愿的。多年来,管道所有者和运营商可以选择是否遵循运输安全管理局 (TSA)提出的最佳实践建议。然而,Colonial Pipeline勒索软件攻击事件无疑已成为管道网络安全监管的转折点。

由于与针对管道基础设施的勒索软件攻击相关的巨大风险以及应对国会日益增长的压力,TSA发布了两项强制性指令以加强管道的网络安全。

第一个指令称为 SD-01,要求管道所有者和运营商向网络安全和基础设施安全局 (CISA) 报告网络安全事件,指定一名内部网络安全协调员随时可用,审查当前措施,并向TSA和CISA报告任何差距和相关的补救措施。

第二条指令SD-02 最初并未公开,而是通过《华盛顿邮报》的信息自由法案要求获得的。SD-02 的重点是要求采取特定的保护措施来保护信息技术 (IT) 和运营技术 (OT) 免受已知的网络攻击,例如勒索软件。该指令要求管道运营商和所有者“实施特定的缓解措施,以防止勒索软件攻击和其他对信息技术和运营技术系统的已知威胁,制定和实施网络安全应急和恢复计划,并进行网络安全架构设计审查。”

乍一看,这两项强制性指令是一个受欢迎的措施,可确保管道所有者和运营商实施所需的基本保障措施,以抵御机会主义和出于经济动机的网络攻击,因为由于美国依赖不间断的石油和燃气供应。然而,需要承认当前方法的某些弱点。作者将在即将于2023年初发表在《休斯顿法律评论》上的题为“管道网络安全”的文章中讨论其中的许多弱点分享在这里。列出了当前管道网络安全监管环境中的一些主要问题或痛点。

第一个弱点:作为管道网络安全监管机构的TSA不合格

对于许多观察家来说,TSA是负责确保石油和天然气管道安全的一个实体,这有点令人惊讶。事实上,TSA可能不是承担这项重要任务的合适实体。该机构因缺乏有效监管管道环境中的网络安全所需的专业知识和工具而受到批评。例如,尚不清楚TSA在颁布指令时是否充分咨询了行业利益相关者,或者它是否具备制定有效网络安全监管制度的专业知识。

一些观察家还批评TSA和CISA 在紧急授权下颁布指令,这使他们能够通过传统的规则制定过程放弃行业投入。这些指令也没有提供给国会。此外,政府问责办公室(GAO)指出,TSA没有审查和修订其指导方针的程序,因此,TSA“无法确保其指导方针反映物理安全和网络安全的最新已知标准和最佳实践,或解决动态安全威胁管道面临的环境。” 

同样值得注意的是,TSA缺乏执行其管道网络安全任务所需的人力资本。该机构在2012年和2013年有14名全职员工从事管道网络安全工作,2014年有1名员工,2018 年只有6 名员工。2019 年,TSA 雇佣了5名管道安全人员,没有一个具有网络安全专业知识。TSA 此前曾承认,它缺乏充分执行其管道网络安全任务的人员。

最后,管道运营商和所有者报告说,TSA似乎缺乏必要的专业知识来监管石油和天然气管道行业的网络安全。缺乏专业知识和人员短缺导致无法对管道网络安全进行关键安全审查:企业安全审查 (CSR) 和关键设施安全审查。

TSA不适合解决管道网络安全问题,导致该机构与联邦能源监管委员会 (FERC) 之间出现一些紧张关系,FERC 是能源部内负责电力行业网络安全监管的独立机构。两名FERC委员对TSA作为管道网络安全监管机构的充分性表示担忧。他们的观察包括呼吁建立一个不同的机构来监管管道网络安全,该机构“充分了解能源部门并拥有足够的资源来应对这一日益严重的威胁”。同样,拜登政府宣布支持将管道网络安全从TSA转移到FERC。一些众议院议员甚至提出了《能源产品可靠性法案》,以允许 FERC 监管管道网络安全。

第二个弱点:信息共享不是灵丹妙药

第二个弱点与第一个指令的内容有关。SD-01指令依赖于信息共享机制,这可能不是解决管道网络安全威胁的灵丹妙药。

TSA针对管道所有者和运营商的一项指令创建了一个信息共享制度,要求管道所有者和运营商指定一名网络安全协调员。指定的协调员将作为管道实体内网络安全事务的主要联系人,并与TSA和CISA 进行沟通。该指令要求网络安全协调员向 TSA和CISA报告任何影响管道所有者或运营商IT或OT的“网络安全事件”。

这种网络安全监管模式被称为“信息共享”,是网络安全监管的两种主要模式之一。另一个是威慑。虽然信息共享有其吸引力,但它通常被视为不足以解决潜在的网络安全问题。根据Andrea Matwyshy 的说法,信息共享和威慑“不是最适合”当今的威胁和安全弱点。有观点认为,美国的网络安全监管结构应该考虑到大多数网络安全问题的“互惠安全漏洞”性质,这是“私营部门和公共部门的信息安全密不可分的现实现实”。换言之,私营部门的脆弱性会影响公共部门,反之亦然。因此,不可能将网络安全问题孤立给一个部门或参与者。

互惠安全漏洞是一个概念,也应该指导当今的管道网络安全工作。大多数管道运营商或所有者都是私营实体,其脆弱性可能会严重影响公共和公共部门。因此,信息共享是不够的,应辅以更全面的工具。例如,联邦政府应与管道部门共享关键威胁信息,以迅速有效地修复漏洞。

更有效的信息共享方法是使管道网络安全监管更符合多中心治理。正如斯科特·沙克尔福德(Scott Shackelford)和其他人所阐明的那样,多中心治理是“一种治理体系,在该体系中,来自重叠管辖区(或权威中心)的当局相互作用以确定这些管理机构以及受这些管辖单元管辖的公民的条件。被授权采取行动,以及出于公共目的对其活动施加的限制。” 在管道行业,这将要求管道运营商和所有者与其他能源部门参与者分享威胁、风险和其他相关信息,反之亦然。电力、天然气和石油是面临类似威胁的相互关联的行业。

第三个弱点:过度依赖规范性标准

TSA管道网络安全措施指令(SD-02)过于依赖规范性标准,这意味着TSA希望关键管道运营商和所有者采取特定的措施,以确保其IT和OT的网络安全。虽然说明性标准似乎很有吸引力,因为它们详细规定了需要采取哪些措施来确保合规,但从网络安全的角度来看,如果它也包括基于性能的标准,这种方法将更强。

为了在管道行业实现更高的网络安全,TSA必须在其指令中纳入性能标准,要求管道运营商和所有者实现某些目标,同时让他们可以自由选择实现目标的手段和方法。基于性能的标准“根据所需结果说明要求,并带有验证一致性的标准,但没有说明实现所需结果的方法。”

在联邦网络安全监管中使用基于性能的标准并非史无前例。例如,《联邦信息安全管理法》和《健康保险流通与责任法》除了规定性标准外,还有基于性能的网络安全标准。

管道网络安全的未来

国会将最终决定TSA是否是监管管道网络安全的合适机构。国会可能决定资助TSA并确保其拥有必要的专业知识和人力资本来有效监管管道网络安全。然而,目前关于是否可以指定一个更合适的机构来监管管道网络安全的争论仍在继续。值得注意的是,这场辩论早于Colonial Pipeline勒索软件攻击。

就这一争议问题而言,目前有三种可能的方法。

首先,FERC 可以监管管道网络安全。这可以通过将《天然气法》重新解释为赋予FERC 对“州际贸易中的天然气运输”的管辖权来实现。这将有效地将管道安全从 TSA 转移到能源部。

其次,FERC可以认证一个新的实体,即能源产品可靠性组织 (EPRO),以规范管道网络安全。根据题为“能源产品可靠性法案”的拟议法案,新的EPRO将制定标准并对管道所有者和运营商强制执行。这种方法旨在将TSA的权力重新集中在物理安全上,同时创建一个新实体,专门负责监管管道网络安全。 

第三,CISA代替TSA可以监管管道网络安全。有观点认为,CISA已经在监督16个关键基础设施部门,但尚不清楚CISA是否能够解决管道部门的复杂问题。此外,CISA没有任何关键基础设施的监管机构。它只能发布指导和促进协作,包括通过信息共享。

授权能源部监管管道网络安全

虽然这三个提议看起来可能不同,但它们都在同一点上,即TSA目前无法有效监管管道网络安全。另一种选择是让能源部取代TSA的位置。首先,该部门可能更适合完成这项任务,因为其能源部门的网络安全法规一直是强制性的。在管道环境中情况并非如此。

当考虑到电力和管道部门之间的相互依赖关系时,让能源部监管管道网络安全是一个有说服力的前景。电力部门越来越依赖天然气,这意味着管道系统中的任何漏洞都会严重影响电力部门。任何影响管道系统的漏洞都会反过来影响整个能源部门,反之亦然。例如,管道泵站依赖于可靠的电力来源。任何影响电力供应的网络安全事件也将阻碍管道发挥其作用的能力。

即便如此,能源部门的网络安全法规也并非没有受到批评。然而,FERC的专业知识和记录可能在管道环境中被证明是有用的,对该机构权限的适当修改可能会为管道行业带来更好的网络安全监管形式。 

还有一些提议将其他机构和实体纳入管道网络安全的不同方面。最近提出的法案包括授权能源部长在管道网络安全方面发挥一定作用的提案,要求FERC与 TSA就网络安全和州际天然气管道许可证申请进行磋商的提案,以及授权能源部的其他法案,美国海岸警卫队和国家标准与技术研究所以及管道和危险材料安全管理局在管道网络安全中发挥作用。如果这些重叠的权限会导致相互矛盾或混淆的指导,则可能会引起关注。

总体而言,似乎TSA应该拥有一些管道网络安全权限,或者根本没有。除非 TSA有足够的资金和人员配备,否则替代提案似乎在未来会占上风,特别是考虑到两项TSA指令的不完整性质以及石油和天然气管道部门面临的许多可能的灾难性风险。

作者简介

Ido Kilovaty是塔尔萨大学法学院Frederic Dorwart Endowed法学助理教授,也是新美国网络安全政策研究员。 此前,他是耶鲁大学法学院全球法律挑战中心的网络研究员和信息社会项目的专职研究员。 他的主要研究领域包括网络安全法、隐私、新兴技术和国际法;他的大部分工作侧重于通过安全驱动的立法和监管来加强网络安全。

原文链接:

https://www.lawfareblog.com/cybersecuring-pipeline