カジノサイト
パイプラインのデジタル防御が危機に瀕しています
2021 年 5 月初旬、植民地時代のパイプライン—米国東海岸で使用される燃料の推定 45% を運ぶ大規模なパイプライン システムの運営者—が、見事にランサムウェア攻撃の標的となりました。コロニアルは攻撃に対処しようとしていた5月7日にすべてのパイプライン運用を停止した。通常の状況では、コロニアルのシステムは 5,500 マイル以上をカバーし、ニュージャージー州とテキサス州の間で毎日 1 億ガロン以上の水を配送しています。
コロニアル社の CEO、ジョセフ・ブラウントは身代金について通知を受け、パイプラインシステムの停止を決定した後(数か月間燃料価格に影響を与えることになるため)、440万ドルの支払いを承認した。
それ以前でもランサムウェア攻撃コロニアルでは、パイプライン業界は、自社の資産がサイバー攻撃を利用して業務を制御または妨害しようとする攻撃者にとって興味深いものであることを認識していました。 2018 年、石油・天然ガスサブセクター調整評議会 (ONG SCC) と天然ガス評議会 (NGC)そのような攻撃者は、国家を代表するものであれ、組織犯罪グループなどを代表するものであれ、企業の存続を脅かす可能性のある「企業リスク」をもたらすということ。
サイバーセキュリティは、坑井からパイプライン、発電所に至るまで、石油・ガス業界のバリューチェーン全体に適用されています。これは、米国のパイプラインだけでも、天然ガス、危険な液体、その他の物質をエネルギー産業に配送する 330 万マイルを超える物理ネットワークにサイバーセキュリティが結び付いていることを意味します。
パイプライン動作の一部は手動で制御されていますが、動作を監視および管理する監視制御およびデータ収集 (SCADA) システムなどの自動制御もあります。事前にプログラムされた要素、リモート センサー、信号により、流量と圧力が許容範囲内に維持されます。
米国のエネルギーインフラを標的としたサイバー攻撃は、ここ数年で着実に増加しています。 「重要インフラを対象とした報告されたインシデントの数は、2014 年の 245 件から 2015 年の 295 件に増加し、2016 年も同様の数 (290 件) でした。報告されたインシデントのうち、約 20 パーセント (報告されたインシデント 59 件) はエネルギー部門を標的としたものでした」と ONG SCC と NGC は白書で述べています。.
そしてパイプライン ネットワークは「最新のセキュリティ管理が欠如しているレガシー (産業用制御システム) とパイプラインの分散した性質により、サイバー攻撃に対して脆弱です…都市部と郊外にまたがるネットワーク。」(TSA)。運用技術と情報技術の側面がさらに統合されるにつれて、これらの産業用制御システム (ICS) は、より大きな目標用サイバー攻撃者.
潜在的なサイバー攻撃に対抗するための業界の取り組みの重要な側面には、リスクベースの管理、テクノロジー ソリューションなどの内部システムが関係していました。しかし、ONG SCCとNGCによると、情報共有分析センター(ISAC)を通じた協力や、個別企業の脅威分析能力を強化するための業界団体の活用など、外部の取り組みも重視されているという。これらの取り組みにおいては、政府機関との調整も同様に重要であることが判明しています。
TSA の多くの責任の 1 つはパイプラインのセキュリティに関するものです。コロニアル・パイプラインの閉鎖後、TSAは行政が重要と指定したパイプライン・システムに対してセキュリティ指令を発行した。この指令は、行政がこれらのパイプライン システムに対する脅威をより適切に判断し、対応できるようにすることを目的としています。
2021 年 5 月 27 日、TSA は Pipeline-2021-01 を発表しました。これにより、重要なパイプラインの所有者と運営者は、潜在的または確認されたサイバーセキュリティインシデントについて、米国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)に通知することが義務付けられました。また、所有者と運営者に対し、年中無休で対応するサイバーセキュリティ コーディネーターを指名し、現在の慣行を見直してセキュリティ上のギャップを特定し、その結果を TSA と CISA に報告して適切な修復措置を講じるよう指示しました。
「これらの最初のガイドラインは、過度に負担にならず、良い第一歩とみなされた」とドラゴス氏は2022年の石油・ガス短信で述べた。.
しかし、TSAが2021年7月20日に別の指令を出したとき、所有者と運営者は激怒した。 とのインタビューでセキュリティ管理、アメリカ石油協会 (API) の広報担当者は、2 番目の指令は「煩わしい」と述べています。
パイプライン-2021-02 では、天然ガスや危険な液体を輸送する重要なパイプラインの所有者に、さまざまな「サイバー侵入に対する保護」を適用することが求められました。DHS によると。 Pipeline-2021-01 に加えて、オペレーターと所有者は、サイバー攻撃に対する緩和方法を適用し、緊急時対応および復旧計画を作成し、サイバーセキュリティ プログラムをレビューすることが義務付けられました。
Dragos のホワイトペーパーによると、「パイプラインの所有者と運営者は、2 番目の指令の実装がより難しいと判断しました。」
この指令は機密情報 (SSI) として分類されていたため、指令の情報を第三者や非 TSA 政府関係者と共有することには制限がありました。この指令には、一見恣意的な期限と、「OT システムの複雑さを考慮せずに IT システム向けに開発されたため、容易に実装できない多くの技術的要件」が含まれていたことが、不満をさらに悪化させたと Dragos 氏は書いています。
改正ガイドラインは監査人が実際の環境から切り離された、あるいはほぼ無関係な質問をするだけで現れる可能性があることを意味するため、事業者らは強く反対した。 「オペレータはそれを嫌っていました」と、パイプラインインフラストラクチャの監視と通信をサポートする機器をパイプライン会社に提供する光ファイバーセンサーメーカーであるルナ・イノベーションズのセキュリティ部門グローバル・セグメント・リーダー、デーン・ランゲン氏は言います。
「あるレベルでは迷惑だった」とランゲン氏はパイプライン事業者から聞いた話を思い出した。政府は、非常に限られた時間枠内でいくつかの要件を満たすよう彼らに命じていました。 「事業者の皆さん、彼らが持っているインフラストラクチャは、とても古い、古い、古いです。多くの事業者は、パイプラインのルート沿いにあるポンプや圧縮ステーションにインターネットさえありません。そのため、現在、彼らは、実際にはインターネットと接続して変換することのできない、これらの古いレガシーベースのテクノロジーを処理しなければなりません。」
業界全体で、2 番目の指令に関してパイプラインの所有者や運営者からいくつかのコメントがありました。
「私自身の話だけでなく、これまでに話し合った何人かの同僚からも話しているのですが、今回のガイドラインの最終回は多かれ少なかれ、『ガイドラインをどこに置くべきかについて皆さんの意見を受け入れるつもりです』というものになったと感じています」と TC Energy の企業セキュリティ マネージャーである Don Greenwood 氏は述べています。
グリーンウッドによれば、少なくとも2011年以来標準となっていた業界関係者との協力の代わりに、TSAからの第2弾のガイドラインは侵害的であり、ほとんど一連の押しつけがましい命令であるとみなされたという。 「現時点ではありがたいことに、これはまだガイドラインであり、業界にとっては困難な状況になるだろうが、もしそのガイドラインが規制に組み込まれることになれば、パイプライン業界に大きな影響を与えることになるだろう。」
したがって、Pipeline-2021-02 の改訂版の作成に関して、TSA は業界関係者と再び協力しました。
2021 年から 2022 年 7 月にかけて、TSA は所有者と運営者からの意見をもとに、2 番目の指令のわずかに改訂されたバージョンを作成しました。。ドラゴス氏によると、政府は引き続きこれらの利害関係者から、パイプライン組織が全体的なサイバーセキュリティの回復力の向上を達成できるように指令を改訂する方法について情報を求め続けたという。
改訂プロセスの一部には、TSA および対象分野の専門家との一連の技術ラウンドテーブルが含まれていた、と API は述べています。
2022 年 7 月、TSA が発表、その入力を組み込みました。たとえば、行政は指令の要件を、次のような業界標準と一致させました。(NIST)、国際オートメーション協会、およびアメリカ石油協会。これにより、パイプラインの所有者とオペレーターは、要件を満たす方法についてある程度の柔軟性が得られました。
つい最近、2022 年 11 月に TSA は、セキュリティ指令に基づいてパイプラインと鉄道部門に適用されるルール作成案の事前通知 (ANPRM) を発表しました。
提案された優先事項には、所有者と運用者に運用の回復力とインシデント対応の現在のベースラインを評価および改善させることが含まれます。オーナーとオペレーターの能力を最大限に高めて、進化する脅威とテクノロジーに自己適応的に対応する。サードパーティの専門家がコンプライアンスをサポートする機会を特定する。セクター全体、所有者および運用者全体にわたるさまざまなサイバーセキュリティの成熟度を考慮する。サイバーセキュリティの採用とコンプライアンスの奨励。サイバーセキュリティ プログラムのパフォーマンスを評価するための定量化尺度を構築します。
TSA はまた、より大規模なセキュリティ イニシアチブをサポートするための効果的なサイバーセキュリティ リスク管理プログラムの中核要素を特定しました。これにはアクセス制御が含まれます。サイバーセキュリティの責任者を指名する。訓練と演習。サイバーセキュリティ管理の実装、有効性、効率性、および影響を測定する。そして脆弱性。
TSAは、関心のある利害関係者、業界団体、サードパーティのサイバーセキュリティ主題専門家、サイバーセキュリティリスクの保険会社および引受会社、特に高リスクのパイプラインおよび鉄道運営の所有者および運営者から、提案された規則に関するコメントを求めていると。コメントの提出期限は 2023 年 1 月 17 日まででした。
また、特に利害関係者がサイバー攻撃者に対して強化するにつれて、官民関係の他の側面も改善されています。
「昔は、とても静かでした」とグリーンウッドは振り返る。政府機関から詳しい情報が得られないまま、何らかのあいまいな脅威が発生していることを知るのはもどかしかったが、状況は大幅に改善されたとグリーンウッド氏は付け加えた。現在、パイプライン会社は定期的に TSA を含む政府機関とやり取りしています。グリーンウッド氏と他のセキュリティ担当者は、関連機関と月に一度の電話会議を行っており、その会議の一部には情報共有が含まれています。
「彼らはますます喜んで共有するようになっていると思います」とグリーンウッド氏は言います。 「それに付け加えておきたいのは、もう少し詳細を教えてくれると嬉しいということです。…特に事後処理、起こった特定のことから彼らが何を学んだのか、例えば植民地パイプラインから何を学んだのかを理解することです。…それは、業界が実際にもう少しオープンにすることができた多くの助けになるでしょう。」
しかし、おそらく、さらなる知識への欲求の一部は、個人的な側面から改善できるでしょう。 Greenwood 氏は、より多くの人員がセキュリティ クリアランスを達成できるようにすることを推奨しています。そうすれば、政府機関はインシデントに関する追加情報をより確実に共有できるようになります。
サラ・モスケダはの副編集長ですセキュリティ管理。彼女と連絡するには[email protected] または LinkedIn で。 Twitter で彼女をフォローしてください: @ximenawrites。
