美國海岸警衛隊在《聯邦公報》上發布了海事領域最新網絡安全法規,為懸掛美國國旗船只、外大陸架設施和受《2002年海上運輸安全法》管轄的設施制定了最低網絡安全要求。
該法規通過增加最低網絡安全要求來幫助檢測風險、應對網絡安全事件并從中恢復,從而保護海上運輸系統免受網絡安全威脅。法規專門針對海上運輸系統日益互聯化和數字化所帶來的風險,以應對當前和新出現的海事網絡安全威脅。
法規內容包括制定和維護網絡安全計劃,任命網絡安全官員以及采取各種措施維護海上運輸系統的網絡安全。針對懸掛美國國旗的船舶、設施或外大陸架設施的所有者或運營商,網絡安全計劃必須包含七項帳戶安全措施:
- 在所有受密碼保護的IT系統上多次登錄失敗后自動鎖定帳戶
- 在使用任何 IT 或運營技術(OT)系統之前更改默認密碼(或在不可行時實施其他補償安全控制)
- 在技術上能夠進行密碼保護的IT和OT系統上保持最低密碼強度
- 在受密碼保護的IT和可遠程訪問的OT系統上實施多因素身份驗證
- 在IT和OT系統上對管理員或其他特權帳戶應用最小權限原則
- 在關鍵IT和OT系統上維護單獨的用戶憑證
- 在用戶離開組織時刪除或撤銷用戶憑證
美國海岸警衛隊概述稱,網絡安全計劃必須包括四項設備安全措施要求。它們是:制定并維護一份經所有者或運營商批準的,可能安裝在IT或OT系統上的任何硬件、固件和軟件的清單;確保在關鍵IT和OT系統上默認禁用運行可執行代碼的應用程序;維護網絡連接系統(包括關鍵IT和OT系統)的準確清單;開發并記錄網絡映射和OT設備的配置信息。
此外,網絡安全計劃還必須包括兩項數據安全措施要求,以確保日志得到安全記錄、存儲和保護,并且只有特權用戶才能訪問,并在技術可行的情況下部署有效的加密技術以維護敏感數據的機密性和IT、OT流量的完整性。
美國海岸警衛隊規定,船東或運營商還必須制定并記錄網絡事件響應計劃,該計劃概述了如何應對網絡事件的說明,并確定了人員中的關鍵角色、職責和決策者。
此外,船東或運營商還必須任命一名網絡安全員( Cybersecurity Officer),以確保執行網絡安全計劃和網絡事件響應計劃。網絡安全員必須確保網絡安全計劃是最新的,并接受年度審核;還必須安排網絡安全檢查,確保人員接受足夠的網絡安全培訓,記錄并向船東或運營商報告網絡安全事件,并采取措施減少網絡安全事件。
法規還規定,船東和運營商要限制對IT和OT設備的物理訪問,保護、監控和記錄所有人員的訪問,并建立例外情況授予訪問權限的程序。
該法規將于2025年7月16日生效。
