Por ARI NATTER
Los operadores de tuberías que no denuncien los ataques de ciberseguridad al Departamento de Seguridad Nacional podrían enfrentar multas de $ 7,000 por día o más según las regulaciones que se publicarán el jueves en respuesta al ataque de ransomware que paralizó temporalmente la tubería de combustible más grande del país.
La llamada directiva de seguridad emitida por Seguridad Nacional será seguida en un futuro cercano por un conjunto adicional de reglas para los operadores de oleoductos, según altos funcionarios del departamento que pidieron no ser identificados.
Los nuevos mandatos, un cambio de un sistema de larga data de pautas voluntarias y autoinforme, es en respuesta al ataque de ransomware contra Colonial Pipeline Co.
“El panorama de la seguridad cibernética está en constante evolución y debemos adaptarnos para abordar las amenazas nuevas y emergentes”, dijo el jueves el secretario de Seguridad Nacional, Alejandro Mayorkas, en un comunicado.
Además de exigir a los propietarios de oleoductos que informen de los incidentes, la directiva de seguridad del jueves a las empresas que operan alrededor de 100 oleoductos críticos estipularía que un representante designado estará disponible las 24 horas como punto de contacto, según el comunicado.
La directiva también requerirá que los operadores comparen sus prácticas con las pautas de la Administración de Seguridad en el Transporte e identifiquen e informen los riesgos.
Eso ha preocupado a los operadores de oleoductos de que las nuevas medidas puedan ser perjudiciales para el sistema voluntario del departamento.
“Los operadores de oleoductos quieren evitar un enfoque de ‘listo, disparar, apuntar’ del gobierno en el que no podemos incorporar las lecciones aprendidas de Colonial o potencialmente empeorar las cosas al regular lo incorrecto o hacerlo de la manera incorrecta”, dijo John Stoody. Un portavoz de la Asociación de Oleoductos, que cuenta con Colonial entre sus miembros, dijo antes de que se revelaran las regulaciones.
Los funcionarios del departamento dijeron que aún planeaban trabajar en colaboración con la industria de los oleoductos, incluso cuando Seguridad Nacional trabaja para diseñar una supervisión más estructurada.
“TSA también está considerando medidas obligatorias de seguimiento que apoyarán aún más a la industria de oleoductos en la mejora de su ciberseguridad y que fortalecerán la asociación público-privada tan crítica para la ciberseguridad de nuestra patria”, dijo TSA en el comunicado.
Para visualizar nuestro portafolio de cursos
ingresa dando click acá
A diferencia de las centrales eléctricas, los oleoductos estadounidenses no han sido obligados a seguir ningún mandato federal de ciberseguridad, a pesar de que a Seguridad Nacional se le dio la autoridad para imponerlos a través de su Administración de Seguridad en el Transporte cuando se creó a raíz de los ataques terroristas del 11 de septiembre de 2001. .
Ese ha sido un enfoque que la industria ha defendido y por el que también luchó. Un esfuerzo en 2012 para exigir regulaciones cibernéticas para oleoductos y otra infraestructura importante a través de la legislación fracasó después de un intenso cabildeo de las compañías petroleras y otros intereses corporativos.
Las nuevas medidas se producen después de que los piratas informáticos que robaron datos y bloquearon computadoras forzaron el cierre del sistema de tuberías de Colonial de aproximadamente 5.500 millas de largo (8.851 kilómetros) durante casi una semana. El oleoducto, que proporciona alrededor del 45% del combustible utilizado en la costa este, se volvió a encender después de que la compañía pagara un rescate de $ 5 millones, pero no antes de que el cierre provocara escasez en las estaciones de servicio.
“Cualquier regulación potencial debe mejorar el intercambio recíproco de información y las protecciones de responsabilidad, así como aprovechar nuestra sólida coordinación público-privada existente para agilizar y elevar nuestros esfuerzos para proteger la infraestructura crítica de la nación”, dijo Suzanne Lemieux, gerente de operaciones del American Petroleum Institute. seguridad y respuesta a emergencias.