US-Heimatschutzminister Alejandro Mayorkas sagte, eine bevorstehende Richtlinie der Transportation Security Administration würde von Hochrisiko-Luftfahrt- und Eisenbahnverkehrsunternehmen verlangen, Cybersicherheitskoordinatoren zu ernennen, Notfall- und Wiederherstellungspläne zu erstellen und der Regierung einen Cyberangriffsvorfall zu melden.
Alejandro Mayorkas sagte, das Department of Homeland Security habe im September das vierte Schlüsselelement in einer 60-tägigen Cybersecurity-Sprint-Serie gestartet, die darauf abzielt, den Transportsektor angesichts des „Spams“ von Ransomware zu stärken. Elastizität.
Die Richtlinie folgt ähnlichen Richtlinien, die nach dem Ransomware-Angriff auf die Colonial-Pipeline an Pipeline-Betreiber erlassen wurden und robuste Schwachstellentests, die Ernennung eines Cyber-Koordinators und die Meldung innerhalb von 12 Stunden nach Entdeckung eines Cyber-Angriffs erfordern.
Beispielsweise wird TSA in Bezug auf das Netzwerksicherheitsmanagement in der Eisenbahnindustrie eine prominentere und aktivere Rolle spielen. Schienengüterverkehrs- und Eisenbahnunternehmen mit „höherem Risiko“ müssen einen Cybersicherheitskontakt für die Regierung benennen und Cybersicherheitsvorfälle an die Agentur für Cybersicherheit und Infrastruktursicherheit melden.
Auf der Luftfahrtseite plant die TSA neue Anforderungen für wichtige Branchenakteure, darunter Flughafenbetreiber, Passagierfluggesellschaften und Betreiber von Frachtflugzeugen, um einen Ansprechpartner für Cybersicherheit zu benennen und Cybersicherheitsvorfälle an CISA zu melden.
„Ich denke grundlegend, ob wir das Niveau der Cybersicherheitshygiene in den USA in allen Bereichen und in jeder Hinsicht vorantreiben können – nicht nur in komplexen Geschäften“, sagte Majorkas auf dem Billington Cybersecurity Summit am 6. Oktober Ortszeit. , einschließlich kleiner Unternehmen, nicht nur KMU – das ist Projekt 1.“
Er fügte hinzu, dass separate Leitlinien für Luftfahrt- und Eisenbahnunternehmen mit geringem Risiko herausgegeben würden, die dieselbe Maßnahme empfehlen, sowie ein Informationsrundschreiben, in dem das Netzwerk aufgefordert wird, sich selbst zu bewerten. Die Transportation Security Administration aktualisiert bereits ihr Flugsicherheitsprogramm.
DHS ignoriert den Seeverkehr nicht. Die Küstenwache veröffentlichte diesen Sommer ihren ersten Cyber-Strategie-Ausblick seit 2015 (die US-Küstenwache veröffentlicht eine neue Cyberspace-Strategie), und Cyber-Experten werden in großen US-Häfen eingesetzt, um die Bereitschaft zu verbessern. Rund 2,300 Seefahrtsunternehmen müssen der Küstenwache Cyber-Pläne vorlegen, die auch mit der International Maritime Organization zusammenarbeiten, um sicherzustellen, dass Fracht- und Passagierschiffe Cyber-Risikobewertungen durchführen und Minderungspläne entwickeln.
Majorcas äußerte sich optimistisch in Bezug auf die Gesetzgebung, die den Druck auf die Betreiber kritischer Infrastrukturen weiter erhöhen würde, Cyberangriffe schnell zu melden, obwohl er besorgt war, einen Meldezeitplan festzulegen.
„Ehrlich gesagt bin ich etwas besorgt über den Zeitrahmen für die Gesetzgebung, wenn man bedenkt, wie schnell sich die Situation ändert und ob die Gesetzgebung dieser Dynamik im Laufe ihrer Entwicklung gerecht werden kann.“ „Im Allgemeinen stellen diese Elemente – insbesondere Kontaktstelle, Meldung von Cybervorfällen und Notfallpläne – die Mindestanforderungen für die heutigen Best Practices für Cybersicherheit dar“, sagte Mayorkas in seiner Rede.
Der erste Cyber-Sprint des DHS startete im März die Website StopRansomware.gov, während der zweite Sprint die größte Cyber-Rekrutierungsoperation in der Geschichte des DHS war und die Voraussetzungen für den Start der DHS-Cybersicherheitsdienste am 15. November ebnete. Der dritte Sprint konzentriert sich auf industrielle Steuerungssysteme.
In Bezug auf den Bericht über Cybersicherheitsvorfälle hat der Senatsausschuss für innere Sicherheit und Regierungsangelegenheiten am 6. Oktober zwei Gesetze zur Cybersicherheit eingeführt.
Das Cyber Incident Reporting Act von 2021 legt eine 72-Stunden-Meldepflicht für Einbrüche und andere Vorfälle fest, an denen Unternehmen beteiligt sind, einschließlich Unternehmen für kritische Infrastrukturen. Darüber hinaus verpflichtet der Gesetzentwurf Unternehmen dazu, alle Ransomware-Zahlungen innerhalb von 24 Stunden an Hacker zu melden. Das Gesetz schafft auch ein neues Büro bei CISA, um Berichte von geschützten Unternehmen entgegenzunehmen. Der Gesetzentwurf wurde verabschiedet, stieß jedoch auf einigen Widerstand der Republikaner des Komitees, weil er zu weit gefasst war und derzeit kleine Unternehmen mit 50 oder mehr Mitarbeitern abdeckt. Das Gesetz wurde dahingehend geändert, dass die gesetzlich vorgeschriebenen Offenlegungen von den Feststellungen in Klagen wegen Cybersicherheitsverletzungen ausgeschlossen werden.
Anfang dieses Jahres brachte eine überparteiliche Gruppe von Gesetzgebern im Senate Select Committee on Intelligence eigene Gesetzentwürfe ein, die von Betreibern kritischer Infrastrukturen und staatlichen Auftragnehmern verlangen würden, Cybersicherheitsvorfälle rund um die Uhr zu melden.
Das Bundesgesetz zur Modernisierung der Informationssicherheit von 2021, das zivile Bundesbehörden dazu verpflichtet, Cyberangriffe an CISA und das Office of Management and Budget zu melden, enthält neue Genehmigungen, die CISA zur primär verantwortlichen Behörde für Cybersicherheitsvorfälle machen, die Bundesbehörden betreffen.
Sen. Gary Peters, D-Mich., der Vorsitzende des Ausschusses, kündigte seine Absicht an, die beiden Gesetzestexte dem National Defense Authorization Act hinzuzufügen, das der Gesetzgeber bis Ende des Jahres verabschieden will.