Транспортная служба безопасности США (TSA) предложилановые правила для защиты транспортной инфраструктуры от кибератак. Меры должны закрепить и дополнить временные директивы, которые были введены после атаки на компанию Colonial Pipeline в 2021 году. Новые правила – одно из последних действий администрации Джо Байдена по усилению кибербезопасности критически важной инфраструктуры перед передачей власти.
Целью новых правил является укрепление кибербезопасности и унификация подходов для ключевых секторов транспортной системы США. По словам TSA, агентство активно взаимодействовало с отраслевыми партнёрами, поэтому в новой инициативе учитываются также пожелания индустрии по защите объектов транспортной инфраструктуры.
Напомним, что после атаки на Colonial Pipeline в мае 2021 года TSA впервые ввела обязательные кибертребования для трубопроводов, так как ранее меры безопасности в этой сфере носили добровольный характер. Однако первоначальные директивы вызвали недовольство у некоторых представителей нефтегазовой отрасли. Впоследствии TSA доработала свои требования, чтобы учесть пожелания бизнеса. Поскольку временные меры нуждаются в ежегодном продлении, TSA решила перейти к разработке постоянных регуляций.
Предложенные правила коснутся примерно 300 операторов из секторов грузовых и пассажирских железных дорог, железнодорожного и трубопроводного транспорта, а также авиации. Новые нормы обяжут компании разрабатывать программы управления киберрисками и операционные планы по кибербезопасности, включая регулярные аудиты для проверки их эффективности. Кроме того, организации должны будут оперативно сообщать CISA о киберинцидентах. Также среди требований TSA – следование принципам CISA secure-by-design и secure-by-default, а также введение стандартов для обучения, сертификации и проверки сотрудников.
Требования коснутся не только существующих объектов, но и расширятся на крупные трубопроводы для транспортировки опасных жидкостей или углекислого газа, особенно если они имеют стратегическое значение для Министерства обороны США.
Ожидается, что новые правила затронут 73 грузовых железных дороги, 34 общественные транспортные системы и пассажирские железные дороги, а также 115 трубопроводных объектов. Более того, 71 автотранспортная компания должна будет отчитываться о значительных инцидентах безопасности.