Tras un devastador ciberataque al Colonial Pipeline, la Administración de Seguridad del Transporte, que forma parte del Departamento de Seguridad Nacional del gobierno, emitirá su primera directiva de ciberseguridad para las empresas de oleoductos en los Estados Unidos, según un informe exclusivo de The Washington Post .
Se espera que las directivas lleguen dentro de la semana y requerirán que las empresas de oleoductos en los EE. UU. Informen sobre cualquier ciberataque que sufran a la TSA y a la Agencia de Seguridad e Infraestructura de Ciberseguridad. Dichos ataques serán informados por «funcionarios cibernéticos» recientemente designados que serán nombrados por cada empresa de oleoductos, quienes deberán tener acceso 24 horas al día, 7 días a la semana a las agencias gubernamentales, informó The Washington Post. Las empresas que se nieguen a cumplir con las directivas se enfrentarán a sanciones.
Las regulaciones representan un cambio radical en la forma en que la TSA ha protegido la seguridad de los oleoductos en el país durante más de una década. Aunque la agencia gubernamental ha tenido durante 20 años la tarea de proteger la seguridad de los vuelos en el país, las nuevas directivas de seguridad cibernética caen dentro del ámbito de la agencia luego de una reestructuración gubernamental después de los ataques del 11 de septiembre de 2001. Más de una década después de los ataques, la agencia se basó en la colaboración voluntaria con empresas privadas de oleoductos para la protección de la ciberseguridad, ofreciendo en ocasiones realizar revisiones externas de las redes y protocolos de una empresa. A veces, informó el Washington Post, esas ofertas fueron rechazadas.
Pero después de que el grupo de ransomware Darkside atacara al proveedor de petróleo y gas de la costa este Colonial Pipeline, lo que provocó un cierre de 11 días y escasez de gas en el este de EE . UU. , Parece que el gobierno federal ya no está satisfecho con la ciberseguridad rezagada de la industria privada. protecciones. El presidente Joe Biden ya ha firmado una Orden Ejecutiva para imponer nuevas restricciones a las empresas de software que venden sus productos al gobierno federal. Según se informa, esas reglas se refinaron después del ataque Colonial Pipeline y se espera que se conviertan en una norma de la industria a medida que más empresas de tecnología compitan por incluir al gobierno como un cliente importante.
Las nuevas reglas de la TSA para las empresas de oleoductos caen en la misma tendencia.
Al hablar con The Washington Post, la portavoz del Departamento de Seguridad Nacional, Sarah Peck, dijo:
“La administración Biden está tomando más medidas para asegurar mejor la infraestructura crítica de nuestra nación. La TSA, en estrecha colaboración con [la Agencia de Seguridad de Infraestructura y Ciberseguridad], se está coordinando con las empresas del sector de tuberías para garantizar que están tomando todas las medidas necesarias para aumentar su resistencia a las amenazas cibernéticas y proteger sus sistemas «.
Aunque se espera la primera directiva de la TSA esta semana, las directivas de seguimiento podrían llegar más tarde. Se informa que esas directivas incluyen reglas más detalladas sobre cómo las empresas de oleoductos protegen sus propias redes y computadoras contra un posible ciberataque, junto con una guía sobre cómo responder a los ciberataques después de que hayan ocurrido. Además, las empresas de oleoductos se verán obligadas a evaluar su propia ciberseguridad frente a un conjunto de estándares de la industria. Estas directivas, como la que se espera esta semana, también serán obligatorias, pero una guía voluntaria esperada de la TSA será si una empresa de oleoductos debe realmente solucionar cualquier problema que encuentre en una evaluación de ciberseguridad requerida.
Las nuevas reglas llevarán a la industria de gasoductos privados a un pequeño grupo de sectores regulados de la infraestructura estadounidense, incluidas las redes de energía eléctrica a granel y las plantas nucleares. Estos sectores son los valores atípicos en la infraestructura de EE. UU., Ya que la mayoría de los componentes, incluidas las presas de agua y las plantas de aguas residuales, no tienen protecciones obligatorias de ciberseguridad.
Quedan varios obstáculos para que las reglas de la TSA sean efectivas, incluida la escasez de personal en la propia agencia. Según The Washington Post, la división de seguridad de oleoductos de la TSA tenía solo un miembro del personal en 2014 y, según el testimonio de 2019, ese número había aumentado a solo cinco. Para aliviar el problema, se espera que el Departamento de Seguridad Nacional contrate 16 empleados más en TSA y 100 empleados más en CISA.