알레한드로 마요르카스 미 국토안보부 장관은 교통안전국의 향후 지시에 따라 고위험 항공 및 철도 운송 기관이 사이버 보안 조정자를 임명하고 비상 사태 및 복구 계획을 수립하며 사이버 공격 사건을 정부에 보고하도록 요구할 것이라고 말했습니다.
Alejandro Mayorkas는 60월 국토안보부가 랜섬웨어의 "스팸"을 고려할 때 운송 부문 강화를 목표로 하는 XNUMX일 사이버 보안 스프린트 시리즈의 네 번째 핵심 항목을 시작했다고 말했습니다. 탄력.
이 지침은 Colonial 파이프라인 랜섬웨어 공격 이후 파이프라인 운영자에게 발행된 유사한 지침을 따르며 강력한 취약성 테스트, 사이버 코디네이터 임명 및 사이버 공격 발견 후 12시간 이내에 보고해야 합니다.
예를 들어, 철도 산업의 네트워크 보안 관리 측면에서 TSA는 보다 주목받고 적극적인 역할을 수행할 것입니다. "고위험" 철도 화물 및 철도 회사는 정부의 사이버 보안 담당자를 지정하고 사이버 보안 및 인프라 보안 기관에 사이버 보안 사고를 보고해야 합니다.
항공 측면에서 TSA는 사이버 보안 담당자를 지정하고 CISA에 사이버 보안 사고를 보고하기 위해 공항 운영자, 여객 항공사 및 화물 항공기 운영자를 포함한 주요 산업 참여자에 대한 새로운 요구 사항을 계획하고 있습니다.
마요르카스는 현지 시간으로 6월 1일 빌링턴 사이버 보안 서밋에서 “복잡한 비즈니스뿐만 아니라 모든 측면에서 미국의 사이버 보안 위생 수준을 높일 수 있다면 근본적으로 생각합니다.”라고 말했습니다. , 중소기업뿐만 아니라 소상공인까지 - 이것이 프로젝트 XNUMX입니다.”
그는 위험이 적은 항공 및 철도 기관에 대해 동일한 조치를 권장하는 별도의 지침과 네트워크에 자체 평가를 권고하는 정보 회람을 발행할 것이라고 덧붙였습니다. 교통안전국은 이미 항공 안전 프로그램을 업데이트하고 있습니다.
DHS는 해상 운송을 무시하지 않습니다. 해안경비대는 올 여름 2015년 이후 처음으로 사이버 전략 전망을 발표했으며(미 해안경비대는 새로운 사이버 공간 전략을 발표함) 대비태세를 개선하기 위해 사이버 전문가들이 미국의 주요 항구에 배치되고 있습니다. 약 2,300개의 해양 기관이 해안경비대에 사이버 계획을 제출해야 하며, 해안경비대는 국제해사기구와 협력하여 화물선과 여객선이 사이버 위험 평가를 수행하고 완화 계획을 개발하도록 합니다.
Majorcas는 보고 일정을 설정하는 것에 대해 우려했지만 중요한 인프라 운영자에게 사이버 침입을 신속하게 보고하도록 압력을 가하는 법안에 대해 낙관론을 표명했습니다.
"솔직히 저는 상황이 얼마나 빨리 변하고 있고 법안이 전개되는 역동성과 일치할 수 있는지를 고려할 때 법안의 일정에 대해 약간 우려하고 있습니다." Mayorkas는 연설에서 "일반적으로 이러한 요소, 특히 연락 창구, 사이버 사고 보고 및 비상 계획은 오늘날의 사이버 보안 모범 사례에 대한 최소 요구 사항을 나타냅니다."라고 말했습니다.
DHS의 첫 번째 사이버 스프린트는 15월에 StopRansomware.gov 웹 사이트를 시작했으며, 두 번째 스프린트는 DHS 역사상 가장 큰 사이버 모집 작업이었으며 XNUMX월 XNUMX일 DHS 사이버 보안 서비스 출시를 위한 발판을 마련했습니다. 세 번째 스프린트는 산업 제어 시스템에 중점을 둡니다.
사이버 보안 사건 보고서와 관련하여 상원 국토 안보 및 정부 문제 위원회는 6월 XNUMX일 두 가지 사이버 보안 법안을 도입했습니다.
2021년 사이버 사건 보고법은 중요한 인프라 회사를 포함하여 회사와 관련된 침입 및 기타 사건에 대한 72시간 보고 요건을 설정합니다. 또한 이 법안은 기업이 랜섬웨어 지불을 24시간 이내에 해커에게 보고하도록 요구합니다. 이 법은 또한 CISA에 보호 대상 회사로부터 보고서를 접수할 새 사무실을 만듭니다. 이 법안은 통과되었지만 너무 광범위하여 현재 직원이 50명 이상인 중소기업에 적용된다는 이유로 공화당 위원회의 일부 반대에 부딪혔습니다. 이 법은 사이버 보안 위반 소송의 결과에서 법에서 요구하는 의무적 공개를 제외하도록 개정되었습니다.
올해 초, 정보에 관한 상원 특별 위원회(Senate Select Committee on Intelligence)의 양당 의원 그룹은 중요 인프라 운영자와 연방 계약자가 XNUMX시간 내내 사이버 보안 사고를 보고하도록 요구하는 자체 법안을 도입했습니다.
연방 민간 기관이 사이버 침입을 CISA 및 예산관리국에 보고하도록 요구하는 2021년 연방 정보 보안 현대화법(Federal Information Security Modernization Act of XNUMX)에는 CISA를 연방 민간 기관에 영향을 미치는 사이버 보안 사고에 대한 주요 책임 기관으로 만드는 새로운 권한이 포함됩니다.
위원회 의장인 Gary Peters 상원의원은 국회의원들이 연말까지 통과하기를 희망하는 국방수권법에 두 개의 법안을 추가할 의사를 밝혔습니다.