تعد تعليقات الصناعة بشأن لوائح الأمن السيبراني الجديدة للسفن التي ترفع علم الولايات المتحدة أمرًا بالغ الأهمية لمستوى العبء، والتطبيق العملي للتنفيذ، وعدم التوافق مع التدابير الحالية.
باري باركر |
في أواخر فبراير، أصدر خفر السواحل الأمريكي (USCG) إشعارًا بوضع القواعد المقترحة (NPRM) فيما يتعلق بالأمن السيبراني للسفن التي ترفع علم الولايات المتحدة. وبشكل أكثر رسمية، توصف التغييرات المقترحة على اللوائح الفيدرالية بأنها إجراء من أجل: “تحديث لوائح الأمن البحري من خلال إضافة لوائح تركز بشكل خاص على تحديد الحد الأدنى من متطلبات الأمن السيبراني للسفن التي ترفع العلم الأمريكي، والمرافق الموجودة على الجرف القاري الخارجي، والمرافق الأمريكية الخاضعة للوائح”. بموجب قانون أمن النقل البحري لعام 2002.
عندما يتم إصدار آلية NPRM، يتم طلب التعليقات من الأطراف المتضررة؛ لقد انتهت الآن فترة التعليق، وسيتم بعد ذلك النظر في الردود قبل وضع الصياغة النهائية للوائح الجديدة.
إن الصياغة المقترحة للغة التنظيمية الجديدة طويلة، بناءً على ملاحظة USCG بأن: “الصناعة البحرية تشهد تحولًا كبيرًا يتضمن زيادة استخدام الأنظمة المتصلة بالإنترنت. وبينما تعمل هذه الأنظمة على تحسين عمليات السفن التجارية ومرافق الموانئ، فإنها تجلب أيضًا مجموعة جديدة من التحديات التي تؤثر على التصميم والعمليات والسلامة والأمن والتدريب والقوى العاملة.
بالإشارة إلى الاختراق السيبراني الذي حدث في ربيع عام 2021 لخط الأنابيب الاستعماري الذي يربط منطقة الخليج الأمريكي بالشمال الشرقي، والذي أدى إلى تنازلات مؤقتة عن قانون جونز للسماح بنقل المنتجات النفطية على طول الساحل، ترى USCG في آلية إدارة المخاطر الوطنية الخاصة بها أن: كل يوم، تحاول الجهات الفاعلة الخبيثة (بما في ذلك، على سبيل المثال لا الحصر، الأفراد والجماعات والدول المعادية التي تشكل تهديدًا) الوصول غير المصرح به إلى أجهزة نظام التحكم أو الشبكات باستخدام قنوات اتصال مختلفة.
لقد جاءت العشرات من التعليقات من الصناعة. على المستوى العملي للغاية، لا تمتلك الشركات الصغيرة، مثل تلك الموجودة في تجارة القطر والمراكب الساحلية أو النهرية الداخلية، أقسامًا كبيرة لتكنولوجيا المعلومات (IT)، وغالبًا ما تقوم بتعيين مستشارين خارجيين للمساعدة في الأمور المتعلقة بالإنترنت. في ردود NPRM، عدد من مشغلي القطر بما في ذلك فلوريدا للنقل البحري، وشركة Western Towboat، وDann Marine Towing، وGolding Barge Lines، وAndrie (أعضاء مشغلي الممرات المائية الأمريكية، أو AWO – الذين ربما أوصوا بالصياغة لأعضائها للرد بشكل فردي) وأعرب عن المخاوف التالية:
- قم بتطوير خطط قائمة على المخاطر مع قابلية تطبيق تتناسب مع ملف الأعمال الفعلي للشركة
- إضافة الأمن السيبراني إلى خطط الأمان البديلة المقدمة من أعضاء AWO (والمجموعات الأخرى)
- تبسيط عملية الإبلاغ عن الحوادث من خلال مركز الاستجابة الوطني ووضع حدود للحوادث التي يمكن الإبلاغ عنها
- إعادة التفكير في دور ضباط الأمن السيبراني (ليس من العملي أن يكون على متن كل سفينة)
- تقليل وتيرة تدريبات الأمن السيبراني المقترحة
قدمت شركة ميرسك لاين، التي لها حضور كبير في المعاملات التجارية (الأجنبية) غير الخاضعة لقانون جونز، تعليقًا مصاغًا يتطرق إلى نقاط مماثلة (ولكنها تخوض في تفاصيل كبيرة)، مشيرة إلى ما يلي: “نحن نعتبر هذه خطوة مهمة نحو تعزيز الأمن السيبراني وضع هذا القطاع الحيوي للبنية التحتية. ومع ذلك، لتحقيق أقصى قدر من التأثير والجدوى، نوصي بإجراء مزيد من التحسينات في مجالات الوضوح والكفاءة والمواءمة مع البرامج الحالية.
لقد اعتقدوا أن أهداف خفر السواحل الأمريكي يمكن تحقيقها من خلال توفير “تدابير واضحة وموحدة وقائمة على المخاطر وعملية تستفيد من أفضل ممارسات الصناعة الحالية وتتجنب خلق أعباء لا داعي لها”.
وفي رد آخر أعدته الشركة، أشارت شركة Liberty Global Logistics، LGL، التي تقوم أيضًا بتشغيل السفن التي تحمل العلم الأمريكي في المجال الدولي، إلى أن “اللوائح المقترحة مرهقة للغاية ومرهقة ماليًا وغير عملية من حيث الجداول الزمنية والتنفيذ النهائي”.
وفيما يتعلق بموضوع هجمات برامج الفدية (الدافع الرئيسي للهجمات السيبرانية)، قالت شركة LGL: “إن قرار الشركة بشأن كيفية الرد على هجوم برامج الفدية هو حق شخصي خاص بها، وإذا اختارت الشركة دفع فدية، فإنها لا ينبغي مطالبتهم بالإبلاغ عن تلك المعلومات، لأن الفعل الذي يتطلب الإبلاغ قد يؤدي في النهاية إلى تثبيط بعض الشركات عن دفع فدية، مما قد يؤدي في الواقع إلى زيادة العدد الإجمالي للحوادث السيبرانية وهجمات برامج الفدية.
الموارد :
يمكن تنزيل NPRM هنا: https://www.regulations.gov/document/USCG-2022-0802-0001
يمكن العثور على تعليقات الصناعة المذكورة في المقالة (بالإضافة إلى الاستجابات الأخرى) على: https:/ /www.regulations.gov/document/USCG-2022-0802-0001/comment
