美国海岸警卫队规定为OT安全提供蓝图

执行摘要

美国海岸警卫队（USCG）的新网络安全法规强制海上设施运营商实施全面的运营技术（OT）安全计划，包括强制性的第三方审计和创建一个专门的混合安全角色。这些规则是在《海事运输安全法》（MTSA）下制定的，为保护工业控制系统提供了一个具体、可执行的模型，与其他关键基础设施领域常见的自愿框架形成对比。

技术分析

USCG的最终规则于2025年生效，修订了MTSA法规，明确包括网络安全。它要求大约3300个受监管的设施——包括港口、码头和海上设施——制定并提交一个详细的网络安全附件的设施安全计划（FSP）。该命令的技术核心是要求设施识别、评估和解决对“关键网络系统”的网络风险，这些系统被定义为对设施的安全和安全运营至关重要的任何IT或OT系统。与一般指导不同，规则规定安全措施必须设计为检测和响应网络安全事件，防止未经授权的访问，并保护系统的完整性。至关重要的是，合规性不是自我认证的；设施必须聘请一个经海岸警卫队批准的独立第三方审计员来验证其安全姿态和FSP。审计员必须具备特定的网络安全能力，创建一个正式的检查，以防止实施不当。

入侵指标

目前没有识别出。

战术、技术与程序

目前没有识别出。

威胁行为者背景

该规则是对海上和港口基础设施面临的日益严峻的威胁形势的回应。虽然USCG法规没有将活动归因于特定的威胁行为者，但它是在国家和犯罪集团持续瞄准的背景下制定的。像2021年对南非Transnet港口的攻击，导致运营瘫痪，以及对物流公司的持续勒索软件活动，展示了实际的破坏潜力。该命令隐含地解决了通过网络钓鱼或易受攻击的面向互联网的系统进行初始访问、横向移动到OT网络，以及部署破坏性或数据盗窃有效载荷等技术。

缓解措施与建议

USCG规则规定了几个关键的缓解策略，为其他工业部门提供了教训：

1. **正式化OT安全角色：**设施必须指定一个“具有网络安全责任的设施安全官（FSO）”。这创造了一个负责弥合物理安全、IT和OT团队之间差距的人，这个差距经常在攻击中被利用。
2. **强制独立验证：**要求有资质的第三方审计的要求超越了清单合规性。它迫使对安全控制及其现实世界的有效性进行客观评估，如果其他地方采用这种做法，可能会显著提高安全基线。
3. **将网络整合到运营风险管理中：**通过要求FSP中的网络安全措施——一个基本上是关于运营连续性的文件——规则迫使将网络风险视为核心业务风险，而不是一个单独的IT问题。
4. **关注关键系统定义：**建议海上以外的组织模仿明确定义“关键网络系统”的过程。这个范围界定练习是优先考虑投资和事件响应计划的基础。