De Amerikaanse minister van Binnenlandse Veiligheid, Alejandro Mayorkas, zei dat een aankomende richtlijn van de Transportation Security Administration zou vereisen dat risicovolle luchtvaart- en spoorwegvervoersagentschappen cyberbeveiligingscoördinatoren aanstellen, nood- en herstelplannen opstellen en een cyberaanvalincident melden aan de overheid.
Alejandro Mayorkas zei dat het Department of Homeland Security in september het vierde sleutelitem lanceerde in een 60-daagse cybersecurity-sprintreeks gericht op het versterken van de transportsector, gezien de "spam" van ransomware. elasticiteit.
De richtlijn zal soortgelijke richtlijnen volgen die zijn uitgevaardigd aan pijpleidingexploitanten na de ransomware-aanval op de koloniale pijpleiding, die robuuste kwetsbaarheidstests vereist, de aanstelling van een cybercoördinator en rapportage binnen 12 uur nadat een cyberaanval is ontdekt.
Op het gebied van netwerkbeveiligingsbeheer in de spoorwegindustrie zal TSA bijvoorbeeld een prominentere en actievere rol gaan spelen. Spoorgoederenvervoerders en spoorwegmaatschappijen met een hoger risico moeten een contactpersoon voor cyberbeveiliging voor de overheid aanwijzen en cyberbeveiligingsincidenten melden aan de Cybersecurity and Infrastructure Security Agency.
Wat de luchtvaart betreft, plant TSA nieuwe vereisten voor belangrijke spelers in de industrie, waaronder luchthavenexploitanten, passagiersluchtvaartmaatschappijen en exploitanten van vrachtvliegtuigen, om een contactpersoon voor cyberbeveiliging aan te wijzen en cyberbeveiligingsincidenten aan CISA te melden.
"Ik denk fundamenteel als we het niveau van cyberbeveiligingshygiëne in de VS op alle gebieden en in alle opzichten kunnen verhogen - niet alleen complexe zaken", zei Majorkas op de Billington Cybersecurity Summit op 6 oktober, lokale tijd. , inclusief kleine bedrijven, niet alleen het MKB – dit is Project 1.”
Hij voegde eraan toe dat er afzonderlijke richtlijnen zouden worden uitgegeven voor luchtvaart- en spoorwegentiteiten met een laag risico die dezelfde actie aanbevelen, evenals een informatiecirculaire waarin het netwerk wordt geadviseerd om zichzelf te beoordelen. De Transportation Security Administration werkt zijn luchtvaartveiligheidsprogramma al bij.
DHS negeert de zeescheepvaart niet. De kustwacht heeft deze zomer haar eerste cyberstrategievisie sinds 2015 uitgebracht (de Amerikaanse kustwacht publiceert een nieuwe cyberspace-strategie) en cyberexperts worden ingezet in grote Amerikaanse havens om de paraatheid te verbeteren. Ongeveer 2,300 maritieme entiteiten moeten cyberplannen indienen bij de kustwacht, die ook samenwerkt met de Internationale Maritieme Organisatie om ervoor te zorgen dat vracht- en passagiersschepen cyberrisicobeoordelingen uitvoeren en mitigatieplannen ontwikkelen.
Mallorca sprak zijn optimisme uit over de wetgeving die de exploitanten van kritieke infrastructuur verder onder druk zou zetten om cyberinbraken snel te melden, hoewel hij zich zorgen maakte over het opstellen van een rapportagetijdlijn.
"Eerlijk gezegd maak ik me een beetje zorgen over het tijdsbestek voor de wetgeving, gezien hoe snel de situatie verandert en of de wetgeving die dynamiek kan evenaren naarmate deze zich ontvouwt." "Over het algemeen vertegenwoordigen deze elementen - met name het contactpunt, de rapportage van cyberincidenten en noodplannen - de minimumvereisten voor de best practices op het gebied van cyberbeveiliging van vandaag", zei Mayorkas in zijn toespraak.
De eerste cybersprint van DHS lanceerde in maart de website StopRansomware.gov, terwijl de tweede sprint de grootste cyberrekruteringsoperatie in de geschiedenis van het DHS was en de weg vrijmaakte voor de lancering op 15 november van de DHS Cyber Security-diensten. De derde sprint richt zich op industriële besturingssystemen.
Met betrekking tot het cyberbeveiligingsincidentrapport heeft de Senaatscommissie voor binnenlandse veiligheid en overheidsaangelegenheden op 6 oktober twee stukken cyberbeveiligingswetgeving geïntroduceerd.
De Cyber Incident Reporting Act van 2021 stelt een 72-uurs rapportagevereiste voor inbraken en andere incidenten waarbij bedrijven betrokken zijn, inclusief kritieke infrastructuurbedrijven. Daarnaast verplicht het wetsvoorstel bedrijven om eventuele ransomwarebetalingen binnen 24 uur aan hackers te melden. De wet creëert ook een nieuw kantoor bij CISA om rapporten van beschermde bedrijven te ontvangen. Het wetsvoorstel werd aangenomen, maar stuitte op enige tegenstand van de Republikeinen van de commissie omdat het te breed was - momenteel voor kleine bedrijven met 50 of meer werknemers. De wet is gewijzigd om verplichte openbaarmakingen die door de wet vereist zijn, uit te sluiten van bevindingen in rechtszaken over inbreuken op de cyberbeveiliging.
Eerder dit jaar heeft een tweeledige groep wetgevers in de Senate Select Committee on Intelligence hun eigen wetsvoorstellen ingediend die eisen dat beheerders van kritieke infrastructuur en federale aannemers XNUMX uur per dag cyberbeveiligingsincidenten moeten melden.
De Federal Information Security Modernization Act van 2021, die vereist dat federale civiele instanties cyberinbraken melden aan CISA en het Office of Management and Budget, bevat nieuwe autorisaties die van CISA de primair verantwoordelijke instantie maken voor cyberbeveiligingsincidenten die gevolgen hebben voor federale civiele instanties.
Senator Gary Peters, D-Mich., De voorzitter van de commissie, kondigde zijn voornemen aan om de twee stukken wetgeving toe te voegen aan de National Defense Authorization Act, die de wetgevers tegen het einde van het jaar hopen goed te keuren.