« La TSA a tout gâché » : les cyber-règles du pipeline rencontrent des obstacles majeurs

“Dans tous les sens, la TSA a tout gâché”, a déclaré Robert M. Lee, PDG de Dragos, une entreprise de cybersécurité qui travaille avec des entreprises d’infrastructures critiques. “C’est un cluster géant et à bien des égards, c’est un exemple parfait de ce qu’il ne faut pas faire avec un processus réglementaire.”

L’administration Biden s’est efforcée de mettre à niveau la sécurité numérique des infrastructures critiques américaines, des services d’eau aux centrales électriques, au milieu des inquiétudes accrues concernant les cyberattaques russes résultant de la guerre en Ukraine. Mais peu des 16 secteurs d’infrastructures critiques ont des normes cybernétiques obligatoires, et beaucoup sont réglementés par des agences ayant peu d’expérience dans ce domaine. Les règles du pipeline de la TSA sont un premier test de la capacité du gouvernement à élaborer des réglementations qui équilibrent la sécurité nécessaire pour empêcher les pirates d’entrer avec la flexibilité nécessaire pour s’adapter à des équipements complexes et idiosyncratiques.

Bien que la TSA soit surtout connue pour la sécurité des aéroports, elle a un vaste mandat comprenant les systèmes de transport en commun, les ports et les pipelines.

Bon nombre des nouvelles exigences de la TSA sont basées sur la protection des ordinateurs personnels, et non sur les systèmes de contrôle des pipelines, ce qui frustre les entreprises qui ne savent pas comment s’y conformer. D’autres règles pourraient nécessiter des mois, voire des années, de mises à niveau laborieuses susceptibles d’interrompre les opérations du pipeline. Le résultat, selon les entreprises et les experts en sécurité, est un gâchis déroutant qui a mis à rude épreuve un partenariat autrefois harmonieux entre l’industrie et son régulateur.

La frustration face aux efforts de sécurité des pipelines de la TSA a atteint le Congrès. L’année dernière, les dirigeants du House Energy and Commerce Committee ont proposé une législation bipartite transférant la cybersurveillance des pipelines au ministère de l’Énergie.

La TSA reconnaît que son programme de cyber-oléoduc a connu des débuts difficiles. “Nous avons appris des leçons ici”, a déclaré un haut responsable de l’agence. Un haut responsable du DHS a ajouté que les responsables de l’administration Biden ont “fait tout leur possible pour consulter l’industrie” après avoir réalisé l’ampleur du mécontentement. Les deux responsables ont obtenu l’anonymat pour discuter du dialogue sensible entre l’industrie et le gouvernement.

Les pipelines font partie des infrastructures les plus critiques des États-Unis : le pétrole et le gaz qu’ils fournissent alimentent environ les deux tiers de la vie américaine. Sans eux, les voitures seraient bloquées et les hôpitaux, les maisons et les bases militaires seraient tous éteints. Plus de 2,6 millions de kilomètres de pipelines sillonnent le pays, exploités par des sociétés comme Enbridge, Kinder Morgan et Williams Cos. – des noms que la plupart des Américains n’entendent jamais à moins qu’il n’y ait une manifestation majeure, un accident ou une cyberattaque.

Le piratage de Colonial Pipeline en mai 2021, qui a provoqué des pénuries temporaires d’essence dans une grande partie de la côte Est, a provoqué l’indignation face au laxisme de la sécurité de Colonial et a conduit à la première cyber-réglementation obligatoire de la TSA, remplaçant les directives volontaires antérieures. Mais l’attaque coloniale était un inconvénient mineur par rapport aux scénarios cauchemardesques qui inquiètent les responsables du renseignement américain. Après l’invasion de l’Ukraine par la Russie, il est plus urgent que jamais de répondre à ces préoccupations.

Le vaste réseau de pipelines du pays a été construit sans tenir compte de la cybersécurité. Et l’industrie des pipelines affirme que la TSA rend plus difficile la mise en place de nouvelles protections de cybersécurité.

Un dirigeant de l’industrie des pipelines, qui a requis l’anonymat pour éviter de fustiger publiquement son régulateur, a déclaré que les règles de la TSA “ont été publiées à la hâte” qu’elles risquent de perturber l’approvisionnement en carburant en forçant les entreprises à répondre à des exigences mal pensées.

Il n’est pas surprenant que les sociétés pipelinières souhaitent une réglementation plus souple. Mais même d’autres en dehors de leur industrie conviennent que les réglementations de la TSA sont trop rigides et pleines de procédures non applicables aux systèmes de pipelines. Parmi ces critiques figurent des personnes comme Lee, des cyber-experts ayant une expérience dans la communauté du renseignement qui éclaire leur compréhension de la façon dont l’infrastructure peut être piratée.

En juillet, la TSA a publié des règles obligeant les entreprises à déployer plus de trois douzaines de défenses de cybersécurité courantes, notamment des analyses antivirus hebdomadaires, des correctifs de sécurité rapides, des pare-feu stricts pour bloquer les logiciels malveillants et l’adoption de l’authentification multifacteur, une technologie qui demande aux utilisateurs une deuxième preuve d’identité. en plus d’un mot de passe, afin de bloquer l’accès non autorisé.

Mais bon nombre de ces pratiques ont été conçues pour les systèmes de technologie de l’information présents sur les réseaux informatiques traditionnels, et non pour la technologie opérationnelle – le terme industriel désignant le matériel ou les logiciels qui surveillent ou contrôlent les équipements tels que les soupapes de sécurité des pipelines et les pompes à eau. Les représentants de l’industrie affirment que la TSA et la CISA n’ont pas réussi à élaborer des règles qui tiennent compte des caractéristiques uniques des systèmes de contrôle industriels, et en particulier de ceux des pipelines.

“Vous ne pouvez pas utiliser des outils de sécurité standard pour sécuriser un environnement OT”, a déclaré Marty Edwards, vice-président de la sécurité des technologies opérationnelles de la cyberentreprise Tenable. J’ai précédemment dirigé l’équipe d’intervention en cas d’urgence cybernétique des systèmes de contrôle industriel du DHS.

Les réglementations sont “de nature trop prescriptive”, a déclaré Lee, “avec de nombreux éléments de contrôle de la sécurité informatique copiés-collés dans OT qui seraient perturbateurs”.

Interrogé sur cette critique, le haut responsable de la TSA a déclaré: “Je concéderais qu’une partie de cela est vraie.”

“Il y a quelques [requirements] cela, comme écrit à l’origine, pourrait entraîner des perturbations opérationnelles », a ajouté le responsable.

Pourtant, la TSA a demandé aux entreprises de lui faire part des règles qui pourraient causer des dommages, et jusqu’à présent, l’agence a reçu moins de 10 notifications de ce type, a déclaré le responsable.

Un dirigeant d’un groupe de l’industrie de l’énergie a déclaré que les exigences de correction rapide et d’authentification multifactorielle étaient inappropriées pour la technologie industrielle. Les correctifs “ne peuvent pas être motivés par des délais arbitraires”, a déclaré l’exécutif, qui a requis l’anonymat pour parler franchement.

Les règles n’ont donné aux opérateurs que quelques mois pour réinitialiser les mots de passe de tous leurs équipements industriels, qui comprennent des milliers de boîtiers de commande qui indiquent aux vannes et aux pompes des pipelines quand s’ouvrir et se fermer. Mais bon nombre de ces boîtiers ne peuvent pas être contrôlés à distance, nécessitant des visites physiques sur site, et le remplacement des boîtiers obsolètes est difficile car peu de fournisseurs les fabriquent. En conséquence, de nombreuses entreprises ont reçu un délai supplémentaire pour se conformer à cette exigence.

La TSA permet aux entreprises de demander l’autorisation d’atteindre les objectifs de sécurité de l’agence en utilisant leurs propres techniques si elles estiment que les méthodes requises ne sont pas pratiques. Mais alors que les entreprises ont soumis 370 demandes d’utilisation de ces “mesures alternatives”, la TSA n’a approuvé que cinq de ces demandes, a confirmé le haut responsable de l’agence.

Les dirigeants de l’industrie disent que c’est en partie parce que la TSA n’a pas assez d’employés pour traiter rapidement les demandes. Selon Lee et l’exécutif du pipeline, une seule personne au siège de la TSA et une poignée de personnes dans ses bureaux régionaux ont examiné ces demandes.

“Ils n’ont pas le personnel”, a déclaré le responsable du pipeline. “Nous pouvons passer des semaines ou des mois sans avoir de leurs nouvelles.”

Le responsable de la TSA a déclaré que l’agence comptait environ 24 employés à temps plein et contractuels dédiés à l’examen des demandes de mesures alternatives. Ils ont déclaré que le volume de demandes est “sans précédent” et bien plus élevé que dans le programme aéronautique de la TSA.

« Est-ce que ça bouge aussi vite que je le voudrais ? Probablement pas », a déclaré le responsable. “Mais cela évolue à un rythme qui garantit que tout ce que nous approuvons ou refusons a été pleinement évalué.”

L’agence a examiné plus de 170 demandes et en examine encore environ 200 autres. En plus des cinq approbations, l’agence a clôturé plusieurs dizaines de demandes en modifiant la directive elle-même pour répondre aux préoccupations, a déclaré le responsable. Cependant, selon le responsable du pipeline, les employés de la TSA diront parfois à une entreprise qu’ils ont examiné une demande mais ne prendront pas de décision sans plus d’informations, mais sans préciser les informations supplémentaires qu’ils souhaitent.

« Il n’y a pas un seul exploitant de pipeline qui ait été satisfait des interactions dont j’ai connaissance », a déclaré Lee. “Cela a fait dérailler de nombreux autres efforts de sécurité précieux.”

Lors d’une réunion avec des sociétés pipelinières le 16 février, l’administrateur de la TSA, David Pekoske, a reconnu que, compte tenu du peu de mesures alternatives approuvées par la TSA, l’agence doit faire mieux pour partager des informations sur ces solutions de contournement créatives avec le reste de l’industrie, selon l’exécutif de l’énergie.

Les exploitants de pipelines veulent des règles entièrement nouvelles, « axées sur les résultats », qui leur permettraient de répondre aux attentes du gouvernement au moyen de mesures de leur choix. Par exemple, au lieu d’exiger des pratiques spécifiques pour séparer les réseaux opérationnels des ordinateurs utilisés à d’autres fins, comme le courrier électronique, la navigation sur le Web ou le traitement de la paie, la TSA demanderait simplement aux entreprises de s’assurer que ces systèmes sont suffisamment séparés, afin qu’un pirate ne puisse pas passer d’un système de ressources humaines au panneau de contrôle d’un pipeline. Les entreprises élaboreraient ensuite leurs propres plans pour atteindre cet objectif.

Pekoske a convenu de la nécessité d’adopter ce modèle plus flexible lors de la réunion du 16 février, a déclaré l’exécutif de l’industrie de l’énergie.

Le haut responsable du DHS a déclaré que l’administration examinait attentivement les leçons tirées d’autres programmes de réglementation alors qu’elle élaborait de nouvelles règles permanentes pour les pipelines et autres infrastructures relevant de la compétence de la TSA. Mais il faudra beaucoup de temps pour remplacer le règlement sur les pipelines par les règles plus souples que souhaite l’industrie.

Un processus d’élaboration de règles complet et approfondi avec suffisamment de temps pour la consultation de l’industrie prendrait probablement 18 à 24 mois, a déclaré Lee, tandis qu’un processus précipité mais toujours adéquat pourrait prendre un an. Cela impliquerait que le gouvernement identifie ses attentes en matière de sécurité, que les entreprises suggèrent des moyens d’atteindre ces objectifs et que les deux parties collaborent pour rédiger les règles finales.

Le gouvernement pourrait encore exiger des pratiques spécifiques, telles que l’embauche d’un responsable de la sécurité de l’information ou le maintien et la pratique régulière d’un plan de réponse aux incidents. “Ce sont normatifs”, a déclaré Lee, “mais ils sont normatifs de telle manière qu’ils permettent [companies] pour continuer à faire les bonnes choses. Les cybernormes de protection des infrastructures critiques du secteur électrique fournissent un modèle pour ces types de règles basées sur les résultats, a-t-il déclaré.

Le haut responsable de la TSA a déclaré que l’agence avait discuté avec les régulateurs de l’énergie de la modélisation de ses règles en fonction des normes du secteur électrique, mais ils ont averti que la création de règles similaires pourrait prendre des années. “Dans certains cas”, ont-ils dit, “nous n’avons pas autant de temps.”

Les représentants de l’industrie soutiennent qu’il vaut la peine de prendre le temps de créer un meilleur processus.

“Nous voulons que la TSA prenne le temps de réfléchir et de bien faire les choses”, a déclaré le responsable du pipeline.