La administración de Biden emite mandatos de ciberseguridad para oleoductos

Pipes

La administración de Biden impondrá regulaciones de ciberseguridad para las principales empresas de oleoductos del país, anunciaron funcionarios el miércoles, luego de un hackeo informático masivo que provocó que un oleoducto transportara casi la mitad del suministro de combustible de la costa este al cierre durante 11 días. Anteriormente, se daban pautas voluntarias a los líderes de la industria.

 

La nueva directiva de seguridad emitida por el Departamento de Seguridad Nacional (DHS) requerirá que las empresas de oleoductos informen los incidentes cibernéticos a las autoridades federales, dijeron altos funcionarios del DHS, y se produce a raíz de una serie de ataques de ransomware que destacan las vulnerabilidades cibernéticas a la infraestructura crítica. A principios de este mes, un ataque de ransomware dirigido a Colonial Pipeline provocó escasez de gasolina y compras de pánico en más de una docena de estados y la capital del país. El cierre amenazó con interrumpir los viajes en avión y el tránsito masivo y resultó en un pago de rescate de $ 4.4 millones a los piratas informáticos extranjeros, según el director ejecutivo del oleoducto.

 

Los altos funcionarios del DHS dijeron a los periodistas esta semana que "el incidente del Colonial Pipeline y la gama más amplia de ataques de ransomware en los últimos meses han creado una conciencia pública sobre las amenazas a la seguridad cibernética que posiblemente no hemos visto en la última década", trascendiendo el etiquetado de rutina. de los ciberataques como una actividad puramente impulsada por el Estado nacional

 

"El ransomware, que es principalmente delictivo y con fines de lucro, puede llegar al nivel de representar un riesgo para la seguridad nacional e interrumpir las funciones críticas nacionales", dijo un alto funcionario del DHS. A raíz del ataque Colonial Pipeline, la Casa Blanca ha lanzado una nueva estrategia para abordar la creciente amenaza a la infraestructura crítica más allá de los esfuerzos aislados del DHS y el Departamento de Justicia.

 

Desde la reagrupación del gobierno federal que tuvo lugar después del 11 de septiembre de 2001, la Administración de Seguridad del Transporte (TSA) ha controlado la seguridad de los oleoductos, asumiendo el control del Departamento de Transporte (DOT). Y aunque el DOT todavía supervisa la operación de los oleoductos, la TSA ha tiene la tarea de protegerlos contra ataques terroristas y amenazas externas desde 2002. En 2011, la agencia emitió su primer conjunto de directrices relacionadas con la cibernética, actualizándolas posteriormente en 2018.

 

La nueva directiva de la TSA requerirá que los propietarios y operadores de oleoductos designen "un coordinador de ciberseguridad disponible las 24 horas del día, los 7 días de la semana", como un director de seguridad, para coordinar tanto con la TSA como con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en caso de incidente, dijeron altos funcionarios del DHS.

 

Las empresas de oleoductos críticos también deben, dentro de los 30 días, "tomar medidas para hacer una evaluación de cómo se alinean sus prácticas actuales" con las directrices de oleoductos actuales emitidas por la TSA. Según los funcionarios, las empresas deben "identificar cualquier brecha" y establecer un cronograma para remediar posibles fallas, un proceso que históricamente fue voluntario.

 

La directiva de seguridad es parte de un "plan estratégico" más amplio del DHS para proteger contra futuros incidentes cibernéticos como el ataque Colonial Pipeline, según altos funcionarios de la agencia.

 

"Este es el primer paso de un enfoque por fases y esperamos que en un futuro no muy lejano vean que esto será seguido con un conjunto adicional de reglas que requieren que el sector tome una serie de acciones". dijo un alto funcionario del DHS. Sin embargo, los detalles sobre la acción futura siguen siendo escasos.

 

Los altos funcionarios del DHS comentaron que eran "muy cautelosos" sobre la divulgación de información de la empresa sobre ciberataques al público, pero sugirieron que CISA podría publicar un "análisis agregado de tendencias de vulnerabilidad y riesgo" para la industria del sector de oleoductos "en el futuro.

 

Las empresas que no cumplan con la directiva de la TSA estarán sujetas a sanciones financieras impuestas a diario, lo que resultará en costos compuestos, dijo un alto funcionario del DHS.

 

Los altos funcionarios del DHS estiman que hay aproximadamente 100 empresas de oleoductos críticas que se rigen por la nueva directiva de la TSA. "Esas empresas de ductos son conscientes de su estado crítico y han sido cubiertas por las pautas de seguridad del ducto, al igual que muchas otras empresas de ductos", agregó un funcionario.

 

La división de la TSA responsable de asegurar los 2,7 millones de millas de oleoductos del país tenía solo cinco empleados a tiempo completo en 2019, ninguno con experiencia en ciberseguridad, según un funcionario de la TSA. "No tenemos empleados que tengan experiencia específica en ciberseguridad", dijo Sonya Proctor, directora de la División de Superficie para la Oficina de Política de Seguridad y Participación de la Industria en TSA, a los legisladores en una audiencia del Comité de Seguridad Nacional de la Cámara el 26 de febrero. "Tienen experiencia en oleoductos, pero no experiencia en ciberseguridad".

 

Eso ha cambiado desde entonces. Los funcionarios del DHS le dijeron a CBS News que "[TSA] tiene personal capacitado ahora para la seguridad de las tuberías tanto en el lado de la seguridad cibernética como en el lado de la seguridad física". Un alto funcionario del DHS dijo que el grupo de ciberseguridad de la agencia "recibió una amplia capacitación del Laboratorio Nacional de Idaho, junto con una capacitación adicional de CISA".

 

La TSA se ha comprometido a realizar 52 evaluaciones de oleoductos en el año fiscal 2021. Hasta la fecha, han realizado 23.

 

Una gran cantidad de sectores de infraestructura crítica, incluidas las presas, la salud pública y la agricultura, aún no imponen estándares cibernéticos obligatorios. Los esfuerzos de los legisladores para instituir requisitos cibernéticos obligatorios dictados por el Congreso fracasaron hace casi una década ante la fuerte disidencia de la industria.

 

Durante semanas, la administración de Biden y los legisladores han expresado su preocupación por la falta de estrictas regulaciones de ciberseguridad para los operadores de gasoductos y oleoductos, lo que reavivó el debate sobre una mayor responsabilidad de la empresa en la protección de la infraestructura estadounidense contra las amenazas cibernéticas.

 

Y aunque la nueva propuesta de Seguridad Nacional puede recibir elogios de los defensores de la seguridad cibernética y los miembros del Congreso que claman por la acción, es probable que la regulación de la TSA plantee preguntas sobre la falta de autoridad del Departamento de Energía sobre las compañías energéticas del país.

 

Aquellos que lideran la nueva directiva de seguridad, sin embargo, siguen siendo optimistas de que no dañará la asociación público-privada de décadas dentro del sector de la seguridad del oleoducto.

 

"Aunque tendremos una supervisión más estructurada, en forma de una directiva de seguridad y otras medidas que vendrán en el futuro, todavía esperamos una relación muy colaborativa con la industria de oleoductos", dijo un alto funcionario del DHS. "El hecho de que tengamos una directiva de seguridad no significa que no continuaremos colaborando con ellos".

 

 

De: CBS News

Need A Quote?

Our team can assist with all lines of insurance coverage. Click Here

Speeding car, driving on the Highway Bri

Is Your Cyber Coverage Up to Date?

Cyber threats have increased exponentially.

Contact us for a complete review of your program

cyber2.jpg

Claims Management

Concerned about high claims experience? We can help. Contact us about our claims management process.

Worker Carrying Asbestos Board

Employee Benefits

2021 will bring new low-cost Voluntary Benefits you can offer to your employees. Let us show you what's available

Contact us

Faces_d800.jpg

Workers' Compensation

We can help you with your workers' compensation. Contact us.

Working on the tunnel (1).jpg