اداره امنیت حمل و نقل (TSA) در تلاش های مستمر خود برای ارتقای امنیت سایبری حمل و نقل و سایر سیستم های زیرساختی حیاتی در سراسر کشور، در 19 اکتبر 2022 یک امنیت جدید صادر کرد. بخشنامه برای شرکت های حمل و نقل ریلی مسافری و باری افزایش امنیت سایبری ریلی – SD 1580/82-2022-01 که از 24 اکتبر اجرایی شد، تقریباً برای 80 درصد اپراتورهای راه آهن باری و 90 درصد راه آهن مسافری در سراسر کشور اعمال خواهد شد. طبق TSA، این دستورالعمل ا،اماتی را برای شرکتهای حملونقل ریلی مسافری و باری اجرا میکند که هدف آن «حفاظت از امنیت ملی، اقتصاد، و سلامت عمومی و ایمنی ایالات متحده و شهروندانش در برابر تأثیر نفوذهای سایبری م،بی است که بر کشور تأثیر میگذارد. راه آهن.»
TSA با این دستورالعمل چرخ را دوباره اختراع نمی کند. بسیار شبیه امنیت اخیر بخشنامه ها دستورالعمل جدید با هدف اپراتورهای خط لوله حیاتی است ا،امات قبلی برای گزارش تخلف و واکنش حوادث برنامه ریزی می کند و بر اقدامات مبتنی بر عملکرد تمرکز می کند. بخشنامه قبلی، صادر شده در دسامبر 2021، اپراتورهای مربوطه را م،م می کند (1) یک هماهنگ کننده امنیت سایبری تعیین کنند. (2) گزارش رویدادهای امنیت سایبری به آژانس امنیت سایبری و امنیت زیرساخت (CISA) ظرف 24 ساعت؛ (3) توسعه و اجرای طرح واکنش به حوادث امنیت سایبری؛ و (4) ارزیابی آسیب پذیری امنیت سایبری را تکمیل کنید.
در یک بی،ه مطبوعاتیمدیر TSA، دیوید پ،که خاطرنشان کرد که «راهآهنهای کشور سابقه طول، در تلاشهای آیندهنگر برای ایمن ، شبکه خود در برابر تهدیدات سایبری دارند و در طول سال گذشته برای ایجاد انعطافپذیری بیشتر تلاش کردهاند، و این دستورالعمل، که بر عملکرد متمرکز است. اقدامات مبتنی بر این تلاشها برای محافظت از زیرساختهای مهم حملونقل در برابر حمله بیشتر خواهد شد.»
دستورالعمل جدید TSA که با همکاری CISA و اداره راه آهن فدرال (FRA) توسعه یافته است، به دنبال دستیابی به چهار نتیجه امنیتی است:
- سیاستها و کنترلهای ت،یمبندی شبکه را ایجاد کنید تا امکان عملکرد ایمن سیستمهای فناوری عملیاتی در صورت آسیبدیدگی شبکهها فراهم شود.
- اقدامات کنترل دسترسی را برای جلوگیری از دسترسی غیرمجاز به سیستمهای سایبری بحر، ایجاد کنید.
- برای شناسایی تهدیدها و ترمیم ناهنجاری ها، سیاست های نظارت و شناسایی مستمر را توسعه دهید.
- با اعمال وصلههای امنیتی، بهروزرس،ها، و ،یب روشهای مبتنی بر ریسک اضافی، خطرات بهرهبرداری در مورد سیستمهای وصلهنشده را کاهش دهید.
برای دستیابی به این اه،، دستورالعمل TSA دو ا،ام اولیه را بر اپراتورهای راه آهن مسافری و باری تحمیل می کند که هر یک به ،اصر متعددی نیاز دارند. ابتدا، این اپراتورها باید تا 21 فوریه 2023 (120 روز پس از تاریخ اجرایی)، یک برنامه پیادهسازی امنیت سایبری مورد تایید TSA را ایجاد کنند که اقدامات خاصی را که شرکت انجام میدهد، ارائه دهد. دوم، اپراتورها باید یک برنامه ارزیابی امنیت سایبری ایجاد کنند تا شامل آزمایشهای فعال و ممیزیهای منظم ارتقاء امنیت سایبری و بررسی آسیبپذیریها باشد. TSA قصد دارد یک فرآیند قو،ن و دوره نظر عمومی را برای ایجاد مقررات مطابق با دستورالعمل های امنیتی خود آغاز کند. شرکتهای حملونقل ریلی باید از این دستورالعملهای در حال تحول آگاه باشند – و مشارکت در توسعه آن را در نظر بگیرند تا مطمئن شوند که برنامههای پاسخگویی به امنیت سایبری و شیوههای عمومی امنیت سایبری مطابقت دارند.
اگرچه به اندازه حملات به زیرساخت های انرژی مانند رویداد خط لوله استعماری در رسانه ها پوشش داده نمی شود، صنعت ریلی همچنان با تهدیدات امنیت سایبری جدی مواجه است. به ،وان مثال، در آوریل 2021، حمله ای به اداره حمل و نقل متروپولیتن در نیویورک توسط هکرهای مظنون مرتبط با ،ت و یک حمله باج افزار علیه سازمان حمل و نقل دره سانتا کلارا صورت گرفت.[1] حتی جدای از تهدیدات سایبری، صنعت ریلی – بخش مهمی از زیرساختهای کشور – تحت فشار زیادی قرار دارد، همانطور که اعتصاب به شدت اجتنابشده در اوایل سال جاری نشان میدهد که پتانسیل ایجاد اختلال در صنعت را داشت.[2] انجمن راهآهنهای آمریکا از این دستورالعمل استقبال کرد و اظهار داشت: «همکاری بین راهآهن و شرکای ،تی در مورد این موضوعات، سابقه طول، و سازنده دارد که به حفظ و پیشبرد راهحلهای هوشمند و مؤثر برای ایمن نگهداشتن شبکه و حرکت بار ادامه خواهد داد. ما قدرد، می کنیم [TSA’s] تلاش برای این مسائل مهم.»[3]
با گذشت بیش از یک قرن و نیم از تکمیل راهآهن بین قارهای، راهآهنها همچنان بخش مهمی از زیرساختهای کشور هستند و آ،ین دستورالعمل TSA با هدف اطمینان از باقی ماندن آنها در عصر تهدیدات سایبری است.
[1] دیدن https://www.nytimes.com/2021/06/02/nyregion/mta-cyber-attack.html; همچنین ببینید
[2] دیدن
منبع: https://www.natlawreview.com/article/tsa-s-new-cyber-directive-freight-p،enger-railroad-carriers-are-agency-s-latest