Geçen ayın sonlarında Ulaştırma Güvenliği İdaresi, petrol ve doğal gaz boru hatlarının siber güvenliğini artırmayı amaçlayan güvenlik direktifini yeniledi ve güncelledi. olarak bilinen yeniden yayınlanan kılavuz Güvenlik Direktifi (SD) Pipeline-2021-02D Pipeline Siber Güvenlik Azaltma, Eylemler, Acil Durum Planlaması ve Testikritik boru hattı şirketlerinin sahipleri ve operatörleri için geçerlidir ve Colonial Pipeline’a yönelik oldukça duyurulan ve yıkıcı fidye yazılımı saldırısının ardından Temmuz 2021 ve Temmuz 2022’de ajans tarafından duyurulan ilk yönergeleri takip eder.
Bu en son güncelleme, basit bir değişim arayışında daha önce belirlenmiş gereksinimleri ortadan kaldırmaz. Sadece statükoyu da korumaz. Bunun yerine, yeni direktif, önceki gereklilikleri temel alan ancak bunları terk etmeyen kademeli bir değişikliği takip ediyor.
Neyin işe yaradığını sürdürmek
Biden Yönetimi, ülkenin boru hatları gibi kritik altyapılar için siber güvenlik düzenleyici gerekliliklerini genişletmeye devam ederken, TSA’nın 2022’de yayınlanan ve SD-02C olarak bilinen önceki yönergede tanımlanan topluluk odaklı kontrolleri sürdürdüğü ve gereksinimleri aşağıdakilerle artırdığı dikkate değerdir: yalnızca küçük güncellemeler, büyük ölçüde olay müdahale planı hedeflerini raporlamaya ve uygulamaya odaklandı.
TSA, geçen yıl özel sektörden uzmanlarla görüştükten sonra, yeterince danışılmayan endüstri paydaşları tarafından eleştirilen önceki boru hattı güvenlik direktiflerini önemli ölçüde geliştirdi.
2023 güncellemesi, sektörün ve bireysel şirketlerin farklı ihtiyaçlarını ve zorluklarını desteklemek için kuralcı önlemler yerine performansa dayalı önlemlere odaklanmaya devam ediyor. Sahipler ve operatörler, gerekli Siber Güvenlik Uygulama Planlarında (CIP) çeşitli endüstri standartlarından (NIST Siber Güvenlik Çerçevesi (CSF), API 1164 ve ISA/IEC 62443 serisi gibi) yararlanma esnekliğine sahiptir ve bu da, eyleme geçirilebilir uygulama planları geliştirmelerine olanak tanır. daha geniş bir rehberlik, deneyim ve çözüm seti kullanan ortamlarını geliştirmek ve stratejik siber güvenlik sonuçlarına ulaşmak ve sistem ve operasyonlardaki farklılıkları karşılamak için.
En önemlisi, BT ortamından benzersiz olan özel risk profilleri göz önüne alındığında, OT ortamları için uygulama planlarını yapılandırma esnekliğine sahipler. Ayrıca, sürekli izleme ve sonuçlara ulaşılıp ulaşılmadığını değerlendirmek için tatbikata odaklanmanın yanı sıra telafi edici kontrollerin kullanılmasına yönelik onay, tüm boru hattı sahipleri ve operatörleri için büyük bir gelişmeyi temsil ediyor.
Altyapı sahipleri ve operatörleri kendi sistemlerinde uzman olduklarından, düzenleme sürecinden mümkün olan en iyi güvenlik sonuçlarını sağlayan değerli girdiler sağlamak için iyi bir konumdadırlar. Gelişen siber tehdit ortamı karşısında direncini korumak için ülkemizin altyapı şirketlerini daha iyi bir konuma getirmek için yeni standartlar ve düzenlemeler geliştirirken hükümetle diyaloğun bir parçası olmaları zorunludur.
Rehavete kapılmadan tutarlılık
SD-02D’nin sektör tarafından bilgilendirilmiş unsurları muhafaza etmesine ek olarak, önceki güvenlik direktifi sürümleriyle olan tutarlılığı, TSA’nın uyumluluğun bir bedeli olduğunu anladığını da gösterir. Kuruluşlar, uyumluluk gerekliliklerini karşılamak için güvenlik dolarını feda etmek zorunda kalmamalı; bir ve aynı olmalıdırlar. İyi bilgilendirilmiş, performansa dayalı gereksinimler, yalnızca uyumluluk kontrol listelerine değil, gerçek güvenliğe odaklanmayı desteklemeye yardımcı olur.
Sektör danışmanlığından alınan girdilerle yinelemeli olarak iyileştirilen tutarlı, performansa dayalı gereksinimler, kuruluşların gerçekten güvenliğe odaklanmalarını sağlarken gelişen tehdit ortamını ele almak için düzenleyici çerçevelerin nasıl geliştirileceğine dair bir modeldir. İşe yarayanları saklayın. Olmayanı iyileştir. Boşlukları doldurmak.
En son ardışık düzen güvenlik direktifi güncellemesiyle TSA, siber güvenlik değerlendirme planlarının değerlendirilmesini ve olay müdahale planlarının test edilmesini içerecek şekilde gereksinimleri kademeli olarak artırdı. İleriye dönük olarak, bu ve diğer güvenlik direktiflerini güncellemeye ve iyileştirmeye devam ettikçe, TSA’nın mümkün olan en iyi güvenlik sonuçlarını sağlamak için özel sektör ve endüstri uzmanlarıyla ilişki kurmaya devam etmesi çok önemli olacaktır.
Düzenleyici uyumlaştırma yoluyla güvenliğe odaklanma
Biden Yönetimi, her ikisi de bu yılın başlarında yayınlanan Ulusal Siber Güvenlik Stratejisi ve ilgili Uygulama Planı da dahil olmak üzere genişletilmiş düzenleme yoluyla ülkemizin kritik altyapısının siber güvenliğini artırmayı taahhüt etti.
Sektör bazında bir yaklaşım kullanan İdare, düzenlemelerin etkilenen sektörlere göre uyarlanmasına izin verdi. Ayrıca, birden fazla sektörde faaliyet gösteren veya birden fazla gözetim organı tarafından kapsanan kuruluşlar için istemeden örtüşen ve bazen yinelenen gereksinimler ağına neden olmuştur.
Birden çok düzenleyici makama tabi olan kritik altyapı sahipleri ve operatörlerinin üzerindeki yükü azaltmak ve kuruluşların gerçek güvenliğe odaklanmasına izin vermek için İdarenin, hem Ulusal Siber Güvenlik Stratejisi hem de Uygulamasında bir öncelik olan düzenleyici uyumlaştırma konusunda anlamlı ilerleme kaydetmesi zorunlu olacaktır. Plan. Birden çok raporlama gereksinimi akışıyla birleşen farklı ve bazen birbiriyle çelişen düzenleyici gereklilikler, dikkati güvenlik ve dayanıklılık sonuçlarından uzaklaştırır.
İdare, düzenleyici uyumlaştırmayla uğraşırken, yinelenen gereksinimlerin toplam maliyetini ve yükünü tam olarak anlamak ve güvenlik ve dayanıklılıktan ödün vermeden en verimli şekilde düzene sokmak için bunu endüstriyle istişare içinde yapmalıdır. Aynı şekilde, TSA’nın mümkün olan en iyi güvenlik sonuçları için gelecekteki güvenlik direktiflerini değerlendirmek ve iyileştirmek üzere endüstri uzmanları ve paydaşlarla ilişki kurmaya devam etmesi önemlidir.