《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 美國運輸安全管理局將要求高風險的航空和軌道交通部門及時報告網絡攻擊事件

美國運輸安全管理局將要求高風險的航空和軌道交通部門及時報告網絡攻擊事件

2021-10-19
來源:網空閑話
關鍵詞: 航空 軌道 攻擊

  美國國土安全部部長Alejandro Mayorkas表示,美國運輸安全管理局(Transportation Security Administration)即將發(fā)布的一項指令將要求高風險的航空軌道交通部門任命網絡安全協(xié)調員,建立應急和恢復計劃,并向政府報告網絡攻擊事件。

  馬約卡斯(Alejandro Mayorkas)表示,鑒于勒索軟件的“濫發(fā)性”,國土安全部在9月份啟動了為期60天的網絡安全系列沖刺計劃中的第四個關鍵事項,旨在加強交通部門的彈性。

  該指令將效仿殖民管道(Colonial pipeline)勒索軟件攻擊后向管道運營商發(fā)布的類似指令,要求進行強大的漏洞測試,任命網絡協(xié)調員,并在發(fā)現(xiàn)網絡攻擊后12小時內報告。

  比如在鐵路行業(yè)網絡安全管理方面,TSA將發(fā)揮了更加高調積極的作用。“風險較高”的鐵路貨運和軌道交通公司將被要求為政府指定一名網絡安全聯(lián)系人,并向網絡安全和基礎設施安全局(cybersecurity and Infrastructure security Agency)報告網絡安全事件。

  在航空方面,TSA正計劃對關鍵行業(yè)參與者提出新的要求,包括機場運營商、客運航空公司和貨運飛機運營商,要求他們指定一個網絡安全聯(lián)系人,并向CISA報告網絡安全事件。

  馬約卡斯當?shù)貢r間10月6日在比靈頓網絡安全峰會上說,“我認為從根本上如果我們能夠推動美國在所有領域的網絡安全衛(wèi)生水平,在所有方面——不僅是復雜的業(yè)務,包括小型企業(yè),不僅中小企業(yè)——這是1號工程”。

  他補充說,將為低風險的航空和鐵路實體發(fā)布單獨的指導意見,建議采取同樣的行動,以及建議網絡自我評估的信息通告。運輸安全管理局已經在更新其航空安全計劃。

  國土安全部并沒有忽視海運。海岸警衛(wèi)隊于今年夏天發(fā)布了自2015年以來的首個網絡戰(zhàn)略展望(美國海岸警衛(wèi)隊發(fā)布新的網絡空間戰(zhàn)略),網絡專家正在美國主要港口部署,以提高防范能力。約2300個海事實體被要求向海岸警衛(wèi)隊提交網絡計劃,海岸警衛(wèi)隊還與國際海事組織合作,以確保貨船和客船進行網絡風險評估并制定緩解計劃。

  馬約卡斯對立法表示樂觀,該立法將進一步向關鍵基礎設施運營商施壓,要求他們迅速報告網絡入侵,盡管他對設定報告時間表感到擔憂。

  “坦率地說,我對立法的時間框架有點擔心,考慮到形勢的快速變化,以及隨著事態(tài)的發(fā)展,立法是否能與這種動態(tài)相匹配?!薄翱偟膩碚f,這些要素——專門的聯(lián)絡點、網絡事件報告和應急計劃——代表了當今網絡安全最佳實踐的最低要求?!瘪R約卡斯在演講中表示。

  國土安全部的第一次網絡沖刺是在3月份啟動了StopRansomware.gov網站,而第二次沖刺則是國土安全部歷史上規(guī)模最大的網絡招聘行動,并為11月15日啟動國土安全部網絡安全服務鋪平了道路。第三個沖刺則集中在工業(yè)控制系統(tǒng)上。

  關于網絡安全事件報告,參議院國土安全和政府事務委員會(Senate Homeland Security and Government Affairs Committee)10月6日提出了兩項網絡安全立法。

  《2021年網絡事件報告法案》(Cyber Incident Reporting Act of 2021)對涉及公司(包括關鍵基礎設施公司)的入侵和其他事件設定了72小時報告要求。此外,該法案還要求相關公司在24小時內報告向黑客支付的任何勒索軟件款項。該法案還在CISA設立了一個新辦公室,接收受保護公司的報告。該法案確實獲得了通過,但由于覆蓋面太廣——目前涵蓋了50名或50名以上員工的小企業(yè)——遭到了委員會共和黨人的一些反對。該法案經過了修改,將法案要求的強制性披露內容排除在網絡安全違規(guī)訴訟的發(fā)現(xiàn)內容之外。

  今年早些時候,參議院情報特別委員會(Senate Select Committee on Intelligence)的一個兩黨議員小組提出了他們自己的法案,規(guī)定關鍵基礎設施運營商和聯(lián)邦承包商24小時報告網絡安全事件。

  《2021年聯(lián)邦信息安全現(xiàn)代化法案》(Federal Information Security Modernization Act of 2021)要求聯(lián)邦民事機構向CISA和管理與預算辦公室(Office of Management and Budget)報告網絡入侵行為,其中包括新的授權,使CISA成為影響聯(lián)邦民事機構網絡安全事件的主體責任機構。

  該委員會主席、密歇根州民主黨參議員加里·彼得斯(Gary Peters)宣布,他打算將這兩項立法加入《國防授權法案》(National Defense Authorization Act),議員們希望在今年年底前通過該法案。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。