政府对管道业者网络安全规范的调整

主要重点

• 网络安全规范调整 ：在 Colonial Pipeline 勒索病毒攻击后，美国政府重新调整了对管道业者和经营者的网络安全规范，提升安全要求并增加弹性。
• 业界反馈影响 ：根据行业反馈，某些规定被认为不切实际或无法执行，导致新规定的修订。
• 报告时间的延长 ：将骇客攻击报告的时间从 12 小时延长至 24 小时，以便行业能够更灵活地遵循安全目标。
• 持续的挑战与立法筹备 ：政府希望在保障网络安全的同时，考虑到私人企业的运作现实，这是一项持续挑战，并引发了有关权限移交的讨论。

2021 年 5 月，Colonial Pipeline遭遇勒索病毒攻击后，造成了重大燃料供应中断，美国拜登政府推出了一系列新的严格规范，以要求管道业主和经营者提升其网络安全管理。国土安全部部长亚历杭德罗·马约卡斯表示，这些规范将使其部门能够“更好地确保管道行业采取必要步骤，以防范不断上升的网络威胁，并更好地保护我们的国家和经济安全”。

一年后，对管道行业面对未来勒索病毒攻击和其他威胁的保护措施仍在继续进行调整，但最近几个月对某些规定的修订是基于行业的反馈，认为这些规定不切实际或在具体执行中无法运作。

交通安全管理局（TSA）的发言人在对 SC 媒体的声明中确认，该机构于 2022 年 5月重新颁布了修订版的安全指导，将业主和经营者向政府报告骇客入侵事件的时间从 12 小时延长至 24小时。该机构计划在第二项指令到期前进行相同的延长，以增加行业达成安全目标的弹性，而非遵循政府的具体要求。

根据 SC 媒体从 TSA 获得的，自安全指导实施以来，该机构收到了 380多个行业要求的“替代措施”请求，即如果业主和经营者能找到其他方法达到相同的安全水平，可以请求豁免某些要求。

时间 | 要求 | 更新
—|—|—
2021年5月 | 漏洞 | 开始实施新的安全规范
2022年5月 | 延长报告时间 | 从 12 小时延长至 24 小时
目前 | 反馈监察 | 收集业界对措施的反馈

TSA表示，这些规范是“故意设计以允许灵活性”，并且公司可以选择不遵循某些要求，如果他们认为这样做会造成安全问题或风险。到目前为止，该机构表示，还没有收到行业通知说实施要求导致了运营中断，并收到的未来潜在中断的通知少于
10 份。管道和危险材料安全管理局的后续调查已经确认这些声明并不成立。

联邦监管与私营企业的微妙平衡

这些变化凸显了联邦监管机构在提升管道业者、水务公司及其他大多为私营拥有的经济领域的网络安全保护水平时，必须细心把握的一条微妙界线，一方面要增强保护，另一方面又对运