پیشنهاد قوانین جدید برای الزام گزارش‌دهی حوادث سایبری در خطوط لوله و راه‌آهن

به گزارش کارگروه بین الملل خبرگزاری سایبربان، اداره امنیت حمل و نقل آمریکا (TSA) این هفته پیشنهادهایی برای تدوین قوانین جدید ارائه کرده است که دستورات موقت فعلی را به قوانین دائمی تبدیل می‌کند.

این قوانین، شرکت‌های فعال در بخش خطوط لوله و راه‌آهن را ملزم به گزارش‌دهی حوادث سایبری و ایجاد برنامه‌های مدیریت ریسک سایبری (CRM) می‌کند.

این قوانین پیشنهادی به دنبال دستورات امنیتی است که اداره امنیت حمل و نقل آمریکا پس از حمله باج‌افزاری به خط لوله کلونیال (Colonial Pipeline) در سال 2021 صادر کرد.

آن حمله باعث شد که به مدت یک هفته، انتقال سوخت در 5,500 مایل از خطوط لوله در سواحل شرقی ایالات متحده مختل شود.

مدیر اداره امنیت حمل و نقل آمریکا ، دیوید پکوفسکی، اعلام کرد:

اداره امنیت حمل و نقل آمریکا با همکاری نزدیک با شرکای صنعتی خود تلاش کرده تا مقاومت سایبری زیرساخت‌های حیاتی حمل و نقل کشور را افزایش دهد. قوانین پیشنهادی به دنبال تقویت این همکاری و بهبود وضعیت امنیت سایبری ذینفعان بخش حمل و نقل زمینی است.

این قوانین جدید که در ثبت‌فدرال (Federal Register) منتشر شده‌اند، شامل برخی از مالکان و اپراتورهای خطوط لوله و راه‌آهن می‌شود و الزامات کمتری برای برخی از اپراتورهای اتوبوس دارد.

قوانین پیشنهادی شامل موارد زیر است:
1. ارزیابی سالانه امنیت سایبری
2. برنامه‌های ارزیابی آسیب‌پذیری که توسط افرادی انجام می‌شود که منافع شخصی یا مالی در نتایج ارزیابی ندارند
3. برنامه عملیاتی سایبری که مسئولان امنیت سایبری، سیستم‌های حیاتی و تدابیر موجود برای تشخیص و مقابله با حملات سایبری را مشخص می‌کند

همچنین، این قوانین سازمان‌ها را ملزم به گزارش حوادث سایبری به آژانس امنیت سایبری و زیرساخت‌ها (CISA) می‌کند.

اداره امنیت حمل و نقل آمریکا اعلام کرد که این قوانین پیشنهادی حدود 300 مالک و اپراتور در بخش حمل و نقل زمینی را تحت تاثیر قرار می‌دهد.

این امر شامل 73 از حدود 620 راه‌آهن باری، 34 از حدود 92 آژانس حمل و نقل عمومی و راه‌آهن مسافری، 71 مالک و اپراتور اتوبوس بین‌شهری، و 115 از بیش از 2 هزار تاسیسات و سیستم‌های خطوط لوله می‌شود.

اداره امنیت حمل و نقل آمریکا برآورد می‌کند که هزینه‌های مربوط به اجرای این قوانین جدید برای صنعت و نظارت اداره امنیت حمل و نقل آمریکا بر آن‌ها طی 10 سال آینده به 2.1 میلیارد دلار خواهد رسید.

سخنگوی اداره امنیت حمل و نقل آمریکا توضیح داد که دستورات امنیتی معمولاً در واکنش به تهدیدات فوری صادر می‌شوند و به آژانس‌ها اجازه می‌دهند تا به سرعت اقدام کنند، در حالی که قوانین رسمی مانند این قوانین جدید، نیاز به دوره‌های طولانی‌تری برای نظرات عمومی و اجرا دارند.

در سال 2022، برخی از شرکت‌ها و کارشناسان از دستورات امنیتی اداره امنیت حمل و نقل آمریکا انتقاد کردند و آن‌ها را بیش از حد تجویزی و نامتناسب با نیازهای محیط‌های سفارشی توصیف کردند؛ اما اداره امنیت حمل و نقل آمریکا اعلام کرده است که تلاش کرده تا انعطاف‌پذیری لازم را برای اپراتورها فراهم کند تا بتوانند دفاع سایبری متناسب با شبکه‌های خود را ایجاد کنند.

اداره امنیت حمل و نقل آمریکا هشدار داده است که حوادث سایبری و حملات باج‌افزاری احتمالاً در کوتاه‌مدت و بلندمدت افزایش خواهند یافت و دلیل آن هم آسیب‌پذیری‌هایی است که توسط مهاجمان در شبکه‌های ایالات متحده شناسایی شده است.

قوانین جدید همچنین به تهدیدات مداوم از سوی کشورهایی مانند روسیه و چین اشاره می‌کند، که هدف آن‌ها ایجاد اختلال در زیرساخت‌های حیاتی ایالات متحده است.

اداره امنیت حمل و نقل آمریکا اشاره کرده است که حملات سایبری می‌توانند از هوش مصنوعی برای انجام حملات سریع‌تر و پیچیده‌تر استفاده کنند و بنابراین، نیاز به حرکت از قوانین داوطلبانه به سمت قوانین اجباری احساس می‌شود.

این قوانین پیشنهادی قرار است تا 5 فوریه نظرات عمومی را جمع‌آوری کند.

اداره امنیت حمل و نقل آمریکا تاکید کرده است که با اپراتورهای صنعتی برای دریافت بازخورد درباره این قوانین جدید جلساتی برگزار کرده است.