0
0
No verão passado, a Administração de Segurança de Transporte dos EUA (TSA) reverteu algumas de suas regras que regem a segurança cibernética para oleodutos e gasodutos naturais. Embora a indústria de petróleo e gás tenha recebido bem as mudanças e as novas regras tenham marcado um passo promissor em direção à colaboração público-privada, ainda há mais trabalho a ser feito. Particularmente agora, seguindo a recém-lançada Estratégia Nacional de Segurança Cibernética , o compartilhamento de informações e a colaboração são essenciais para proteger efetivamente nossa infraestrutura crítica.
Para começar, a reversão do TSA – ou pelo menos alguma revisão – era necessária. A TSA emitiu uma diretiva inicial em 2021, após o hack do Colonial Pipeline , que expôs vulnerabilidades a ciberataques em um componente central da infraestrutura de energia do país. Mas essas regras não foram bem recebidas pela indústria. Os operadores de oleodutos estavam preocupados com os cronogramas “agressivos” da diretiva. Alguns alegaram que “a diretriz poderia exigir que eles substituíssem milhares de equipamentos em todo o país”, de acordo com a senadora do Tennessee, Marsha Blackburn. Os operadores expressaram preocupação de que a revisão tão rápida de tantos equipamentos pudesse criar problemas de segurança ainda piores ao introduzir novas tecnologias que ainda não haviam sido totalmente verificadas em sistemas que funcionavam de forma estável há décadas.
As novas regras , emitidas por meio de um par de diretivas (em junho e julho) e aprimoradas no final do ano , estendem e facilitam simultaneamente os requisitos de segurança cibernética da TSA, tornando-os mais alinhados com o que o setor estava pedindo. As novas diretrizes se concentram em mais medidas baseadas em desempenho, em vez das medidas prescritivas emitidas em 2021.
Progresso, certo? Depende de quem você perguntar.
Regras Prescritivas vs. Pragmáticas
As novas regras de oleodutos da TSA são mais pragmáticas e mais adequadas às necessidades da indústria de petróleo e gás, mas há uma compensação: elas são mais fracas.
A natureza prescritiva do primeiro memorando estava fora de contato com a realidade da tecnologia operacional (TO) . Muitos dos requisitos eram razoáveis para as redes de TI usadas pelos operadores de dutos, mas não eram úteis ou diretamente inúteis para o mundo OT, que tem tecnologias e requisitos diferentes e opera em ambientes diferentes.
O novo memorando efetivamente reduz a prescritividade para padrões mais realistas, de modo que os operadores de oleodutos não sejam penalizados por não atenderem a requisitos impossíveis.
Por outro lado, as novas regras podem ser muito flexíveis para fazer melhorias drásticas em nossa segurança de pipeline. São práticas recomendadas extremamente simplificadas e é difícil ver como alguém pode ser responsabilizado por elas. Por exemplo, frases como “tempo oportuno” e “metodologia baseada em risco” são medidas qualitativas. Um operador de duto está realmente respondendo em tempo hábil ou não? A metodologia deles é baseada em risco ou não? É um julgamento.
Portanto, embora este memorando dê mais flexibilidade para os operadores aprovarem mudanças razoáveis, também pode deixar muito espaço de manobra para os operadores de dutos.
O desafio de corrigir sistemas OT
A realidade é que uma regulamentação rígida é quase impossível. É difícil para o governo impor diretrizes prescritivas com resultados binários (“seguro” ou “não seguro”) em ambientes complexos.
Por exemplo, muitos operadores de dutos estão executando sistemas OT com 30 ou 40 anos. Alguns desses sistemas funcionam continuamente há décadas e nunca foram conectados à Internet. As pessoas que escreveram o código específico do site estão aposentadas há muito tempo, e aquelas que escreveram o sistema operacional provavelmente já morreram. Para quem você vai ligar se algo der errado?
O fato é que corrigir sistemas OT muito antigos é mais arriscado do que deixá-los sem patches. Regulamentação de qualquer tipo não é adequada para lidar com tais situações – o que é necessário é um profundo conhecimento local dos sistemas, total consciência de quais componentes estão envolvidos (especialmente aqueles que se conectam à Internet de alguma forma) e quais dados eles estão transmitindo (e para onde) e uma vontade de manter a segurança da melhor maneira possível.
Adotando parcerias público-privadas de segurança cibernética
No entanto, as novas regras de pipeline da TSA mostram um caminho a seguir. Embora imperfeitas, as novas regras refletem mais a parceria público-privada do que a diretriz inicial, e essa abordagem colaborativa é motivo de esperança.
Ao preparar sua diretriz, a TSA solicitou e recebeu ampla contribuição de partes interessadas do setor, bem como de parceiros federais, incluindo a Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento.
A TSA declarou que continuará a propor regulamentos para codificar vários requisitos de segurança cibernética para oleodutos ao longo do ano, e esperamos que isso continue sendo feito em parceria com o setor.
Em suma, o TSA deve ser elogiado por sua abordagem multissetorial. O tipo de consulta e revisão do setor que entrou nas diretivas mais recentes deve fazer parte de quaisquer futuras regulamentações de segurança cibernética que afetem a infraestrutura crítica. Isso é especialmente verdade, considerando que 80% da infraestrutura crítica é administrada pelo setor privado.
Quando se trata de infraestrutura, o governo não deve emitir regulamentações sem o envolvimento ativo das indústrias que está regulamentando. A verdadeira segurança cibernética do setor público depende de mais parcerias público-privadas como essa.
FONTE: DARK READING