Le secrétaire américain à la Sécurité intérieure, Alejandro Mayorkas, a déclaré qu'une prochaine directive de la Transportation Security Administration obligerait les agences de transport aérien et ferroviaire à haut risque à nommer des coordonnateurs de la cybersécurité, à établir des plans d'urgence et de rétablissement et à signaler au gouvernement un incident de cyberattaque.
Alejandro Mayorkas a déclaré que le Département de la sécurité intérieure avait lancé en septembre le quatrième élément clé d'une série de sprints de cybersécurité de 60 jours visant à renforcer le secteur des transports, compte tenu du "spam" des ransomwares. élasticité.
La directive suivra des directives similaires émises aux exploitants de pipelines à la suite de l'attaque par ransomware du pipeline Colonial, exigeant des tests de vulnérabilité robustes, la nomination d'un cybercoordinateur et un rapport dans les 12 heures suivant la découverte d'une cyberattaque.
Par exemple, en termes de gestion de la sécurité des réseaux dans l'industrie ferroviaire, la TSA jouera un rôle plus visible et plus actif. Les entreprises ferroviaires de fret et ferroviaires « à haut risque » seront tenues de désigner un contact en matière de cybersécurité pour le gouvernement et de signaler les incidents de cybersécurité à la Cybersecurity and Infrastructure Security Agency.
Du côté de l'aviation, la TSA prévoit de nouvelles exigences pour les principaux acteurs de l'industrie, y compris les exploitants d'aéroports, les compagnies aériennes de passagers et les exploitants d'avions cargo, pour désigner un contact en matière de cybersécurité et signaler les incidents de cybersécurité à la CISA.
"Je pense fondamentalement que si nous pouvons augmenter le niveau d'hygiène de la cybersécurité aux États-Unis dans tous les domaines, à tous égards – pas seulement dans les affaires complexes", a déclaré Majorkas lors du Billington Cybersecurity Summit le 6 octobre, heure locale. , y compris les petites entreprises, pas seulement les PME - c'est le projet 1. »
Il a ajouté que des directives distinctes seraient émises pour les entités aéronautiques et ferroviaires à faible risque recommandant la même action, ainsi qu'une circulaire d'information conseillant au réseau de s'auto-évaluer. La Transportation Security Administration met déjà à jour son programme de sécurité aérienne.
Le DHS n'ignore pas le transport maritime. La Garde côtière a publié cet été ses premières perspectives de cyberstratégie depuis 2015 (la Garde côtière américaine publie une nouvelle stratégie sur le cyberespace), et des cyberexperts sont déployés dans les principaux ports américains pour améliorer la préparation. Quelque 2,300 XNUMX entités maritimes sont tenues de soumettre des cyberplans à la Garde côtière, qui travaille également avec l'Organisation maritime internationale pour s'assurer que les navires de fret et de passagers procèdent à des évaluations des cyberrisques et élaborent des plans d'atténuation.
Majorcas s'est dit optimiste quant à une législation qui exercerait une pression supplémentaire sur les opérateurs d'infrastructures critiques pour qu'ils signalent rapidement les cyber-intrusions, bien qu'il soit préoccupé par la fixation d'un calendrier de signalement.
"Franchement, je suis un peu préoccupé par le calendrier de la législation, étant donné la rapidité avec laquelle la situation évolue et si la législation peut correspondre à cette dynamique au fur et à mesure qu'elle se déroule." "En général, ces éléments - en particulier le point de contact, le signalement des incidents cybernétiques et les plans d'urgence - représentent les exigences minimales pour les meilleures pratiques de cybersécurité d'aujourd'hui", a déclaré Mayorkas dans son discours.
Le premier cyber-sprint du DHS a lancé le site Web StopRansomware.gov en mars, tandis que le deuxième sprint était la plus grande opération de cyber-recrutement de l'histoire du DHS et a ouvert la voie au lancement le 15 novembre des services de cybersécurité du DHS. Le troisième sprint se concentre sur les systèmes de contrôle industriels.
En ce qui concerne le rapport sur l'incident de cybersécurité, le Comité sénatorial de la sécurité intérieure et des affaires gouvernementales a présenté deux projets de loi sur la cybersécurité le 6 octobre.
Le Cyber Incident Reporting Act de 2021 fixe une exigence de déclaration de 72 heures pour les intrusions et autres incidents impliquant des entreprises, y compris des entreprises d'infrastructures critiques. En outre, le projet de loi oblige les entreprises à signaler tout paiement de ransomware aux pirates dans les 24 heures. La loi crée également un nouveau bureau au CISA pour recevoir les rapports des entreprises protégées. Le projet de loi a été adopté, mais a rencontré une certaine opposition de la part des républicains du comité car il était trop large – couvrant actuellement les petites entreprises de 50 employés ou plus. La loi a été modifiée pour exclure les divulgations obligatoires requises par la loi des conclusions dans les poursuites pour violation de la cybersécurité.
Plus tôt cette année, un groupe bipartisan de législateurs du Comité sénatorial spécial du renseignement a présenté ses propres projets de loi qui obligeraient les exploitants d'infrastructures critiques et les entrepreneurs fédéraux à signaler les incidents de cybersécurité XNUMX heures sur XNUMX.
La loi fédérale de 2021 sur la modernisation de la sécurité de l'information, qui oblige les agences civiles fédérales à signaler les cyber-intrusions à la CISA et au Bureau de la gestion et du budget, comprend de nouvelles autorisations qui font de la CISA la principale agence responsable des incidents de cybersécurité affectant les agences civiles fédérales.
Le sénateur Gary Peters, D-Mich., Président du comité, a annoncé son intention d'ajouter les deux textes législatifs à la loi sur l'autorisation de la défense nationale, que les législateurs espèrent adopter d'ici la fin de l'année.