供应商如何帮助交通运输提高网络安全

2022年7月，Mineta运输研究所(MTI)发表了一份新报告网络安全运输机构。这份题为“面对日益增加的网络风险，调整运输机构和供应商:识别和解决网络安全挑战的建议，研究了供应商在网络安全生态系统中扮演的角色，以及运输机构及其供应商如何合作应对当今网络环境带来的挑战和威胁。报告最后对有关各方提出了一系列建议。

MTI网络研究团队包括Scott Belcher、Brandon Thomas、Katie Seckman、Homayun Yaqub、Terri Belcher和Eric Greenwald，他们于2020年开始研究，发表了“交通运输业为网络革命做好准备了吗?加强地面交通网络防范的政策建议，这表明交通运输行业并没有做好准备，以应对如今司空见惯的各种网络安全威胁。作者在基础研究之后发布了MTI白皮书，题为“Sunburst网络安全攻击对运输行业的影响”;“拜登政府的‘美国制造’行政命令会为运输运营商带来重大的新网络安全义务吗?”以及“个人数据保护是改善美国公共交通网络安全实践的驱动力”。

这项新研究的重点是供应商在网络安全中的作用以及他们与交通行业的关系。通过详细的访谈和深入的研究，该团队报告了几个关键的发现。

首先，身体和身体的寿命不匹配运输设备(超过15年)以及操作它的软件和固件。运输机构在公共汽车、火车和其他运输设备上投入大量资金，目的是保证乘客的安全和可靠性。不幸的是，他们经常不支付软件维护协议的物理生命周期。其结果是，许多正常运行的交通设备都有过时的软件，因此很容易受到网络威胁。

第二，相当数量的交通部门不了解如何有效地将网络风险管理政策和程序纳入其采购实践。有些根本不包括网络要求;而另一些则要求不基于实际风险的不必要的、重复的或无法实现的条款。这种脱节会导致不必要的成本，并导致合格的供应商选择不投标。

最后，该研究揭示了“安全性”和“风险”之间缺乏区分。安全是不受伤害或能抵御伤害的状态。风险认识到威胁的持续暴露以及在整个企业范围内管理威胁的必要性。运输机构和他们的供应商永远都有风险。而不是寻求一种无法达到的全面安全状态。机构必须转向风险可控的立场。这包括接受暴露于伤害的机会是恒定的和不可避免的。它可以得到管理和缓解，但无法逃脱。为此，各机构必须将网络风险管理纳入其恢复和响应计划，并纳入其机构。

基于这些发现，报告的作者提出了以下几点建议:

• 供应商是否应该指定一个安全主管来协助管理网络风险．他们应该计划定期和独立的安全审计和渗透测试。最后，供应商应参与公私安全信息论坛，共享有关网络威胁的信息。
• 交通部门应该将网络风险管理计划与物理安全风险管理整合起来，创建一个全面的企业风险管理计划。他们应该任命一名首席安全官(CSO)来负责物理和网络安全。应该建立一个执行级别的企业风险委员会，并由CSO担任主席。机构应该识别、评估和管理寿命结束的软件和硬件，以避免生命周期不一致。
• 协会应制定第三方风险管理标准，并将其纳入合同语言模板，招标书S，以及用于与供应商打交道的其他构件。他们应该制定一份全面的安全问卷和评估指南，以及网络安全审计、渗透测试和其他工具的最低指南。最后，他们应该在风险管理方面提供投资指导。
• 美国国土安全部(DHS)和美国交通部(U.S. DOT)应设立一个部门网络安全执行局，授权其制定网络安全指导方针。他们应更新2015年运输系统部门网络安全框架实施指南，以涵盖电动、联网和自动驾驶车辆。
• 美国联邦运输管理局(FTA)应要求过境采购为安全维护提供资金;运输机构最低限度地满足运输安全管理局(TSA)安全指令1582-21-01的要求;并要求首席执行官证明他们的组织符合tsa批准的网络安全标准，并完成了年度网络安全审计。
• 国会应增加对国土安全部和美国交通部的资金，以制定和颁布网络安全标准，并增加对运输机构的公式拨款，确保他们能够满足这些网络安全标准。

作者认为，实施这些建议将改善运输机构及其供应商的网络安全，实现更高效、更安全的工作环境。

完整的报告可以查阅在这里．

作者简介:斯科特·贝尔彻和詹姆斯·格莱姆斯是研究助理，Mineta运输研究所他是圣何塞州立大学的教授。