Diretivas de Segurança de Oleodutos da TSA: Uma Visão Geral dos Requisitos de Segurança Cibernética

Em maio de 2021, um ataque de ransomware levou ao fechamento da Colonial Pipeline, que transporta quase metade do combustível usado na Costa Leste. Durante dias, multidões ansiosas lotaram postos de gasolina em longas filas e voos foram interrompidos, com compras por pânico causando escassez e picos nos preços da gasolina.

A causa raiz do ataque: os sistemas de TI da Colonial Pipeline foram sequestrados com uma senha comprometida exposta em uma violação de dados separada e provavelmente reutilizada.

Como resultado do ataque colonial, a Administração de Segurança dos Transportes (TSA) estabeleceu duas Diretrizes de Segurança de Oleodutos obrigatórias. A primeira foi Diretiva de Segurança Pipeline-2021-01: Aprimorando a Segurança de Oleodutos, que identificou ações críticas imediatas para proprietários e operadores de oleodutos. Esta diretiva exige que as entidades realizem uma avaliação de vulnerabilidade com base nas Diretrizes de Segurança de Oleodutos, criadas como um dos objetivos iniciais da TSA após o 9 de setembro.

A segunda é Diretiva de Segurança Pipeline 2021-02: Ações de mitigação de segurança cibernética, planejamento de contingência e testes de pipeline. Esta diretiva inclui uma série de requisitos focados na prevenção de ataques cibernéticos e na melhoria da resiliência da infraestrutura crítica do país em geral.

Abaixo, discutiremos o que está nos requisitos, incluindo três planos separados exigidos pela segunda diretiva e como o software de gerenciamento de conformidade automatizado pode ajudar a reduzir os riscos de segurança cibernética.

Baixe um folheto gratuito sobre como o Gerenciamento de patches AssurX a solução ajuda empresas de energia e serviços públicos a melhorar a segurança do sistema de TI/OT

Uma abordagem baseada em resultados para a segurança de oleodutos

A segunda Diretiva de Segurança de Oleodutos da TSA utiliza uma abordagem baseada no desempenho para proteger a segurança de oleodutos, permitindo que a indústria se adapte às ameaças em evolução e utilize tecnologias emergentes. Para tanto, as ações tomadas para proteger essa infraestrutura crítica devem alcançar os seguintes resultados:

1. Crie políticas e controles de segmentação de rede para que os sistemas de tecnologia operacional (TO) não sejam afetados se um sistema de tecnologia da informação (TI) for violado e vice-versa
2. Estabelecer controles de acesso para impedir acesso não autorizado a sistemas cibernéticos críticos
3. Desenvolver processos contínuos de monitoramento e detecção de ameaças para identificar riscos e corrigir anomalias que possam impactar sistemas cibernéticos críticos
4. Mitigar o risco de exploração com patches de segurança e atualizações oportunas para sistemas operacionais, aplicativos, drivers e firmware, utilizando uma abordagem baseada em risco gerenciamento de patches estratégia

Requisitos para proprietários e operadores de oleodutos

A diretiva original exige que os proprietários e operadores de oleodutos:

• Relatar incidentes de segurança cibernética à Agência de Segurança Cibernética e de Infraestrutura (CISA) imediatamente
• Estabelecer um coordenador de segurança cibernética que esteja disponível para a TSA e a CISA 24 horas por dia, 7 dias por semana
• Realizar uma avaliação anual de vulnerabilidades de segurança cibernética

Além disso, para atingir os resultados acima, a segunda diretiva exige que os proprietários e operadores de oleodutos desenvolvam e executem três planos específicos:

• Plano de implementação de segurança cibernética aprovado pela TSA
• Plano de Resposta a Incidentes de Segurança Cibernética
• Programa de Avaliação de Segurança Cibernética

Abaixo, discutimos cada um dos planos acima com mais detalhes, incluindo o que eles devem cobrir e como um sistema automatizado sistema de gestão de conformidade podem ajudar.

Plano de Implementação de Segurança Cibernética Aprovado pela TSA

Proprietários e operadores de oleodutos são obrigados a implementar um Plano de Implementação de Segurança Cibernética aprovado pela TSA, descrevendo as medidas específicas de segurança cibernética usadas e o cronograma para atingir os resultados de desempenho acima.

Este plano deve identificar todos os sistemas cibernéticos críticos, definidos como quaisquer sistemas ou dados de TI ou TO que causariam interrupção operacional se fossem violados. Ele também deve mostrar como você alcançará cada um dos quatro resultados descritos acima, embora não especifique como.

A diretiva permite uma abordagem flexível, e o plano deve estabelecer os processos e controles de segurança cuja conformidade será inspecionada pela TSA. Uma vez aprovado o plano, espera-se que a organização mantenha esses processos e controles, incluindo qualquer cronograma definido no plano.

Plano de Resposta a Incidentes de Segurança Cibernética

A diretiva da TSA exige que proprietários e operadores de oleodutos criem e mantenham um Plano de Resposta a Incidentes de Segurança Cibernética atualizado para evitar interrupções operacionais no caso de um incidente que afete os sistemas de TI ou TO.

O Plano de Resposta a Incidentes de Segurança Cibernética deve documentar medidas específicas que você tomará para garantir:

• Contenção rápida de quaisquer servidores ou dispositivos infectados
• Segregação da rede ou dispositivo infectado para evitar a propagação de código malicioso
• Segurança e integridade dos dados de backup, incluindo como você protegerá e separará os dados de backup
• Você tem a capacidade de isolar sistemas de TI e TO caso ocorra um incidente de segurança cibernética
• Teste anual de pelo menos dois dos objetivos do plano

Plano de Avaliação de Segurança Cibernética

Proprietários e operadores de oleodutos devem criar um Plano de Avaliação de Segurança Cibernética que mostre como a organização avaliará a eficácia de suas medidas de segurança cibernética. Ele também deve mostrar como você planeja identificar e corrigir vulnerabilidades em dispositivos, redes e sistemas.

Este plano deve:

• Avaliar a eficácia do Plano de Implementação de Segurança Cibernética
• Incorporar uma revisão bianual do projeto de arquitetura de segurança cibernética
• Incluir avaliações como testes de penetração e testes de perspectiva adversarial
• Estabelecer um cronograma para auditoria da eficácia das medidas acima, abrangendo 30% das políticas e processos a cada ano para cobrir 100% em um período de três anos

Além disso, as organizações devem enviar uma atualização anual deste plano para aprovação, que inclua os resultados do Plano de Avaliação de Segurança Cibernética do ano anterior.

Atendendo aos requisitos e resultados da TSA com software automatizado de gerenciamento de conformidade

Atender aos requisitos das Diretivas de Segurança de Oleodutos da TSA exige a coleta, o monitoramento e a atuação em uma ampla gama de dados relacionados a sistemas de TO e TI.

Um sistema automatizado de gerenciamento de conformidade simplifica esse processo, aprimorando a segurança cibernética ao permitir que as entidades:

• Crie e mantenha cronogramas para avaliação de patches de segurança e avaliações de segurança cibernética, escalando tarefas automaticamente quando os prazos se aproximam
• Coletar evidências relacionadas ao gerenciamento de patches e avaliação de segurança cibernética, como data de avaliação, planos de mitigação, aprovações e assinaturas digitais
• Acompanhe a conclusão oportuna dos requisitos de treinamento de segurança
• Validar a conformidade dos controles técnicos com as políticas e planos organizacionais
• Gerar relatórios sobre sistemas cibernéticos críticos e todos os ativos abrangidos pelas diretivas do pipeline

Além disso, as empresas podem documentar e rastrear evidências de suporte com mais facilidade para planos de segurança cibernética, como inventários de ativos, documentos de políticas e arquivos de log. Em caso de inspeção, a capacidade de obter essas informações rapidamente de um único local é uma clara vantagem em relação aos processos manuais de rastreamento.

Conclusão

Em 2021, o ataque de ransomware ao Oleoduto Colonial só terminou quando funcionários do oleoduto pagaram 75 Bitcoins, então avaliados em US$ 4.4 milhões, aos cibercriminosos. As diretrizes e diretrizes de segurança de oleodutos da TSA visam prevenir eventos futuros semelhantes, exigindo uma série de planos, políticas e controles. Um sistema de conformidade automatizado é vital para manter a conformidade com os requisitos, para que as organizações possam garantir que seus planos estejam funcionando e bem documentados.

Baixe um guia gratuito de melhores práticas para Seleção e implementação de software automatizado de gerenciamento de conformidade NERC

Sobre o autor

Kathryn Wagner Kathryn é vice-presidente de Soluções Industriais, Energia e Serviços Públicos da AssurX. Kathryn traz mais de 25 anos de experiência em integração e conformidade de sistemas de manufatura, sendo responsável pelo desenvolvimento e evolução de ofertas de produtos para Conformidade com a NERC e sistemas relacionados que se concentram em confiabilidade e resiliência.