TSA, petrol ve doğal gaz boru hattı sahiplerinin ve operatörlerinin siber saldırılara karşı operasyonel dayanıklılığını güçlendirmek için Güvenlik Direktifi’nde (SD) güncellemeler yaptığını duyurdu.
Bu Help Net Security videosunda, GuidePoint Security’de OT Kıdemli Güvenlik Danışmanı olan Chris Warner, yeni tanıtılan bu hükümlerin, boru hattı sahiplerini ve operatörlerini, sistemlerinin güvenliğini proaktif olarak geliştirmeye ve petrol ve doğal gaz sektöründeki potansiyel siber güvenlik tehditlerine karşı korumaya nasıl zorunlu kıldığını tartışıyor.
Kaynak zorluklarına rağmen, boru hattı sahipleri ve operatörleri, siber güvenlik önlemlerini güçlendirmenin kritik önemini anlıyor. Uygulama zahmetli olsa da, sistemlerini petrol ve doğal gaz sektöründeki potansiyel siber tehditlere karşı korumak çok önemlidir. Bu, yeni TSA SD gereksinimlerini etkin bir şekilde ele almak ve bu hayati altyapı sistemlerinin genel güvenlik duruşunu geliştirmek için stratejik planlama ve kaynak tahsisi gerektirir.
Yüksek düzeyde, güncellenmiş SD aşağıdaki hükümleri içerir:
1. TSA incelemesi ve onayı için Yıllık Güncellenmiş Siber Güvenlik Değerlendirme Planı (CAP) sunumu.
2. Önceki yılın değerlendirme sonuçlarının raporlanması ve her üç yılda bir gerekli güvenlik önlemlerinin %100 değerlendirilmesi ile siber güvenlik önlemlerinin denetlenmesi için yıllık bir program sağlanması.
3. Siber Güvenlik Olay Müdahale Planının (CIRP) en az iki hedefinin, planda tanımlanan ilgili kişileri içeren yıllık testi.
4. Önemli siber güvenlik olaylarını CISA’ya bildirmek, bir siber güvenlik irtibat noktası belirlemek ve bir siber güvenlik açığı değerlendirmesi yapmak gibi mevcut gereklilikleri sürdürmek (SD Pipeline 2021-01C).
Güncellenen SD birkaç değişiklik getiriyor:
- Kısım II.A.3, artık Sahip/Operatörlerin, boru hattı operasyonlarının yöntemlerini değiştirmeleri durumunda sistemlerini yeniden değerlendirmelerini ve TSA’ya SD’nin gerekliliklerine uyum için bir program bildirmesini gerektirmektedir.
- Yeni bir Bölüm II.B.3, bir Mal Sahibinin/Operatörün TSA onaylı Siber Güvenlik Uygulama Planını (CIP) güncellenmiş SD’ye göre değiştirmesi gerekip gerekmediğini açıklığa kavuşturur.
- Bölüm II.B.4 kaldırıldı ve Bölüm III.A, TSA’nın inceleme sırasında daha önce tanımlanmayan ek Kritik Siber Sistemleri tanımlamasına izin veriyor.
- Bölüm III.F.1.e, CIRP tatbikatları için gereklilikleri güncelleyerek, Sahip/Operatörlerin yılda en az iki kez ağ segmentasyonu ve OT ve BT sistem izolasyonu gibi en az iki CIRP hedefini test etmesini zorunlu kılar. Ayrıca, tatbikatlara katılan iki çalışan pozisyonunu da belirlemelidirler. Yıllık bir CAP Raporu, değerlendirme sonuçlarını, kullanılan yöntemleri ve politikaların, prosedürlerin ve yeteneklerin etkinliğini içermelidir.
- Bölüm III.G, CAP kısaltmasını Siber Güvenlik Değerlendirme Planı olarak değiştirerek yıllık sunulmasını ve TSA onayını gerektirir. CAP programı, TSA onaylı CIP’nin üç yıl içinde %100 tamamlanmasını sağlamak için yıllık olarak politikaların, prosedürlerin, önlemlerin ve yeteneklerin %30’unu veya daha fazlasını değerlendirmelidir.
- Bölüm IV.A artık CIP’de önceden geliştirilmiş planlara, değerlendirmelere, testlere ve değerlendirmelere atıfta bulunulmasını ve bunların talep üzerine TSA’ya sunulmasını gerektirmektedir.
- Son olarak, Bölüm VC, operasyonel esnekliği artırmada gelecekteki yetenekler için esneklik sağlamak üzere belgelerin nasıl yazıldığını ve TSA’ya nasıl sunulduğunu ele alan yeni bir gerekliliktir.