Geçen yaz, ABD Ulaştırma Güvenliği İdaresi (TSA), petrol ve doğal gaz boru hatları için siber güvenliği yöneten bazı kurallarını geri aldı. Petrol ve gaz endüstrisi değişiklikleri memnuniyetle karşılasa ve yeni kurallar kamu-özel sektör işbirliğine yönelik umut verici bir adımı işaret etse de, daha yapılacak çok iş var. Özellikle şimdi, yeni yayınlanan Ulusal Siber Güvenlik Stratejisini takiben, bilgi paylaşımı ve işbirliği, kritik altyapımızı etkili bir şekilde korumanın anahtarıdır.
Başlamak için, TSA’nın geri alınması – veya en azından bazı revizyonlar – gerekliydi. TSA, 2021’de, ülkenin enerji altyapısının temel bir bileşeninde siber saldırganlara karşı güvenlik açıklarını ortaya çıkaran Colonial Pipeline hack’inin ardından bir ilk yönerge yayınladı. Ancak bu kurallar endüstri tarafından pek iyi karşılanmadı. Boru hattı operatörleri, direktifin “agresif” zaman çizelgeleri konusunda endişeliydi. Tennessee Senatörü Marsha Blackburn’e göre bazıları, “direktifin tüm ülke çapındaki binlerce ekipmanı değiştirmelerini gerektirebileceğini” iddia etti. Operatörler, bu kadar çok ekipmanın bu kadar hızlı bir şekilde elden geçirilmesinin, onlarca yıldır istikrarlı bir şekilde çalışan sistemlerde henüz tam olarak incelenmemiş yeni teknolojilerin kullanıma sunulmasıyla daha da kötü güvenlik sorunları yaratabileceğine dair endişelerini dile getirdi.
Bir çift direktifle (Haziran ve Temmuz aylarında) çıkarılan ve yılın sonuna doğru iyileştirilen yeni kurallar, aynı anda TSA’nın siber güvenlik gereksinimlerini genişletip kolaylaştırarak, onları endüstrinin talep ettiği şeyle daha uyumlu hale getiriyor. Yeni yönergeler, 2021’de yayınlanan kuralcı önlemler yerine daha fazla performansa dayalı önlemlere odaklanıyor.
İlerleme, değil mi? Kime sorduğunuza bağlı.
Kuralcı ve Pragmatik Kurallar
TSA’nın yeni boru hattı kuralları daha pragmatik ve petrol ve gaz endüstrisinin ihtiyaçlarına daha uygun, ancak bir ödünleşim var: Daha zayıf.
İlk notun kuralcı doğası, operasyonel teknolojinin (OT) gerçekliğinden kopuktu. Gereksinimlerin çoğu, boru hattı operatörleri tarafından kullanılan BT ağları için makuldü, ancak farklı teknolojilere ve farklı gereksinimlere sahip olan ve farklı ortamlarda çalışan OT dünyası için ya yararlı değildi ya da doğrudan yararsızdı.
Yeni not, kural koyuculuğu etkili bir şekilde daha gerçekçi standartlara indirger, böylece boru hattı operatörleri imkansız gereklilikleri karşılayamadıkları için cezalandırılmaz.
Öte yandan, yeni kurallar, boru hattı güvenliğimizde ciddi iyileştirmeler yapmak için çok gevşek olabilir. Bunlar son derece basitleştirilmiş en iyi uygulamalardır ve herhangi birinin bunlara karşı nasıl sorumlu tutulabileceğini anlamak zordur. Örneğin, “zamanında” ve “riske dayalı metodoloji” gibi ifadeler nitel ölçümlerdir. Bir boru hattı operatörü gerçekten zamanında yanıt veriyor mu, vermiyor mu? Metodolojileri risk bazlı mı, değil mi? Bu bir yargılama çağrısı.
Dolayısıyla bu not, operatörlere makul değişiklikleri yürürlüğe koyma konusunda daha fazla esneklik sağlarken, aynı zamanda boru hattı operatörlerine çok fazla hareket alanı bırakabilir.
OT Sistemlerine Yama Uygulamanın Zorluğu
Gerçek şu ki, sert düzenleme neredeyse imkansız. Hükümetin karmaşık ortamlarda ikili sonuçlara (“güvenli” veya “güvenli değil”) sahip kuralcı yönergeleri zorlaması zordur.
Örneğin, birçok boru hattı operatörü 30 veya 40 yıllık OT sistemlerini çalıştırıyor. Bu sistemlerden bazıları onlarca yıldır kesintisiz çalışıyor ve hiç internete bağlanmamış. Siteye özgü kodu yazan kişiler çoktan emekli oldu ve işletim sistemini yazanlar muhtemelen öldü. Bir şeyler ters giderse kimi arayacaksın?
Gerçek şu ki, çok eski OT sistemlerine yama uygulamak, onları yamasız bırakmaktan daha risklidir. Herhangi bir düzenleme, bu tür durumların üstesinden gelmek için pek uygun değildir – gerekli olan, sistemler hakkında derin yerel bilgi, hangi bileşenlerin dahil olduğu (özellikle herhangi bir şekilde İnternet’e bağlanan herhangi bir bileşen) ve hangi verileri ilettikleri (ve nereye kadar) ve kişinin elinden gelen en iyi şekilde güvenliği sağlama isteği.
Kamu-Özel Siber Güvenlik Ortaklıklarını Kucaklamak
Ancak, TSA’nın yeni boru hattı kuralları ileriye dönük bir yol gösteriyor. Kusursuz olmakla birlikte, yeni kurallar kamu-özel sektör ortaklığını ilk direktiften daha fazla yansıtıyor ve bu işbirlikçi yaklaşım umutlu olmak için sebep.
Yönergelerini hazırlarken TSA, endüstri paydaşlarının yanı sıra Bakanlığın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da dahil olmak üzere federal ortaklardan kapsamlı girdi istedi ve aldı.
TSA, yıl boyunca boru hatları için bir dizi siber güvenlik gerekliliğini düzenlemeye yönelik düzenlemeler önermeye devam edeceğini belirtti ve bunun sektörle ortaklaşa yapılmaya devam edeceğini umuyoruz.
Kısacası, TSA çok paydaşlı yaklaşımı nedeniyle takdir edilmelidir. Yeni direktiflerde yer alan sektör danışmanlığı ve inceleme türü, kritik altyapıyı etkileyen gelecekteki siber güvenlik düzenlemelerinin bir parçası olmalıdır. Bu, kritik altyapının %80’inin özel sektör tarafından yürütüldüğü düşünülürse özellikle doğrudur.
Altyapı söz konusu olduğunda, hükümet, düzenlediği sektörlerin aktif katılımı olmadan yönetmelikler çıkarmamalı ve çıkaramaz. Gerçek kamu sektörü siber güvenliği, bunun gibi daha fazla kamu-özel ortaklığına bağlıdır.