Por Ari Natter y Jennifer A. Dlouhy
La administración Biden está preparada para emitir nuevas regulaciones de ciberseguridad para tuberías e instalaciones de gas natural licuado después del ataque de abril que paralizó temporalmente el conducto de combustible líquido más grande del país.
Las reglas, que podrían ser publicadas esta semana por la Administración de Seguridad en el Transporte, son el segundo tramo de la agencia desde el ataque a Colonial Pipeline Co .. Representa un alejamiento más de un sistema que hasta ahora había dependido de uno mismo. -reportación y otras medidas voluntarias.
“Esta Directiva de seguridad se aplicará a los sistemas de tuberías que la TSA ha designado como críticos para la infraestructura de nuestra nación y se necesita con urgencia para proteger mejor nuestra infraestructura crítica de tuberías de las amenazas a la seguridad cibernética”, dijo el Departamento de Seguridad Nacional, que supervisa la TSA. en un comunicado que añadió que la directiva se aplicaría tanto a las instalaciones de gas natural licuado como a los gasoductos.
Los funcionarios de la TSA estaban programados para informar a la industria sobre las reglas el lunes, según una persona familiarizada con el asunto que pidió no ser identificada al discutir información no pública.
Según las reglas establecidas en mayo, los operadores de oleoductos que no informen de los ataques de ciberseguridad podrían estar sujetos a multas y también requerirían que las empresas de oleoductos designen a un representante que esté disponible las 24 horas como punto de contacto. Las reglas también requieren que los operadores comparen sus prácticas con las pautas de la TSA e identifiquen e informen los riesgos.
Para visualizar nuestro portafolio de cursos
ingresa dando click acá
Un funcionario de la TSA testificó ante el Congreso el mes pasado que se esperaba que una directiva de seguridad que se estaba redactando incluyera medidas de mitigación específicas junto con más requisitos de especificación con respecto a las evaluaciones.
Las nuevas reglas surgen cuando los operadores de oleoductos advierten contra mandatos excesivamente prescriptivos que interfieren con programas de ciberseguridad voluntarios altamente individualizados y adaptados a las necesidades de empresas específicas.
Los funcionarios de la TSA han dejado en claro que la directiva es necesaria para mitigar las preocupaciones de seguridad y hacer que las tuberías sean más seguras, según dos personas familiarizadas con el asunto.
Los representantes de la industria que han visto una copia del proyecto de directiva de la TSA argumentaron que las disposiciones, tal como estaban preparadas, debían estar mejor orientadas al riesgo de las empresas individuales y, en algunos casos, eran demasiado específicas. Entre las reglas del borrador estaban los requisitos relacionados con las actualizaciones de contraseñas, la desactivación de las macros de Microsoft Corp. y los controladores lógicos programables emergentes, según dos personas familiarizadas con el tema.
Los piratas informáticos que robaron datos y bloquearon computadoras forzaron el cierre del sistema de tuberías de aproximadamente 5.500 millas (8.851 kilómetros) de Colonial durante casi una semana. El oleoducto, que proporciona aproximadamente el 45% del combustible utilizado en la costa este, se volvió a encender después de que la compañía pagara un rescate multimillonario, pero no antes de que el cierre provocara escasez en las estaciones de servicio.
A diferencia de las centrales eléctricas, los oleoductos estadounidenses no estaban obligados a seguir ningún mandato federal de ciberseguridad, a pesar de que a Seguridad Nacional se le dio la autoridad para imponerlos cuando se creó a raíz de los ataques terroristas del 11 de septiembre de 2001.
Ese ha sido un enfoque que la industria ha defendido y por el que también luchó. Un esfuerzo en 2012 para exigir regulaciones de seguridad cibernética para oleoductos y otra infraestructura importante a través de la legislación fracasó después de un intenso cabildeo por parte de las compañías petroleras y otros intereses corporativos.