Yahoo Finance LIVE – 2 juin

Bloomberg

Pipelines balancés lorsque l’alerte de piratage «  clignotant en rouge  » s’est éteinte en 2012

(Bloomberg) – Il y a dix ans, après que des pirates ont été surpris en train d’infiltrer les opérations de gazoduc et qu’une vidéo d’Al-Qaïda a émergé appelant à un «jihad électronique» sur l’infrastructure américaine, le sénateur Joseph Lieberman a tenté de sonner l’alarme. «Rouge clignotant», a averti Lieberman à ses collègues du Sénat lors du débat sur la menace en 2012. «La cyber-infrastructure privée et exploitée peut bien être, et sera probablement un jour, la cible d’une attaque ennemie.» Dirigée par le Connecticut indépendant et candidat unique à la vice-présidence, les législateurs ont cherché à exiger des sociétés énergétiques qu’elles renforcent la sécurité informatique. Mais l’effort s’est estompé sous le lobbying féroce des compagnies pétrolières et d’autres intérêts corporatifs qui ont réussi à tuer la législation. Cela a laissé en place un système de directives volontaires qui n’a pas réussi à arrêter l’attaque du ransomware du mois dernier contre Colonial Pipeline Co., qui a paralysé une artère majeure pour le carburant le long de la côte Est. Kasowitz Benson Torres LLP. «L’attaque contre le pipeline colonial n’aurait peut-être pas eu lieu si nous avions adopté la législation.» Désormais, en réponse à l’attaque, le département de la Sécurité intérieure se prépare à abandonner l’approche volontaire et à imposer des exigences de cybersécurité aux pipelines, selon une personne familière. avec les plans qui demandaient à ne pas être identifiés avant une annonce formelle, ce serait une défaite pour les compagnies pétrolières et les exploitants de pipelines qui, depuis plus d’une décennie, ont réussi à lutter contre les normes fédérales pour contrecarrer les cyberattaques de la législation ou des agences de régulation. Contrairement aux centrales électriques, les pipelines américains ne sont pas tenus de respecter les mandats fédéraux de cybersécurité, même si Homeland Security a reçu le pouvoir de les imposer lors de sa création à la suite des attentats du 11 septembre 2001. l’agence chargée de la protection des pipelines du pays, émettra cette semaine une directive obligeant les sociétés pipelinières à signaler les cyber-incidents, selon la personne familière avec les plans. « L’administration Biden prend de nouvelles mesures pour mieux sécuriser les infrastructures critiques de notre pays », a déclaré le DHS dans un communiqué mardi. «Nous publierons des détails supplémentaires dans les jours à venir.» Jusqu’à présent, la TSA avait résisté à l’utilisation de son autorité pour imposer des mesures de cyberprotection. dans de nombreux cas, les normes de sécurité minimales et l’industrie faisait plus que cela », a déclaré Jack Fox, qui était responsable de la sécurité des pipelines de l’agence avant de prendre sa retraite en 2016. Le projet de loi de Lieberman aurait imposé des exigences de performance en matière de cybersécurité sur les infrastructures critiques privées – et a giflé des amendes aux entreprises qui n’ont pas réussi. Les règles auraient été appliquées à plus que les pipelines: les secteurs où un démantèlement hostile des systèmes informatiques pouvait entraîner des pertes massives, l’effondrement des marchés financiers ou la perturbation des approvisionnements en énergie et en eau devaient être inclus. Cette version du projet de loi n’a pas réussi à surmonter un flibustier dirigé par les républicains. Entreprises de pipelines Pour Lieberman, l’échec pique encore. «Nous nous demanderions en quelque sorte qui est à l’origine de cette opposition agressive et la réponse que nous obtenions était les sociétés d’énergie et les sociétés de pipeline. », A-t-il déclaré. Toutes les grandes compagnies pétrolières américaines – y compris Exxon Mobil Corp., Chevron Corp. et ConocoPhillips – ont fait pression sur la législation, aux côtés de certains raffineurs et d’au moins un opérateur de pipeline. Colonial n’a pas fait pression sur la mesure en 2012, selon les formulaires de divulgation qu’il a déposés auprès du Congrès. Cependant, des groupes auxquels il appartenait, y compris l’American Petroleum Institute, l’Association of Oil Pipe Lines et la Chambre de commerce – un titan politique qui a déclaré avoir dépensé 103,9 millions de dollars pour influencer les politiques gouvernementales en 2012. la qualifiant d’approche de la réglementation trop large et trop sévère qui menaçait de créer une relation «contradictoire» entre le gouvernement et le secteur privé au lieu de favoriser la collaboration contre les cyberattaques. Le groupe a soutenu une approche alternative axée sur un plus grand partage des informations sur les menaces, une position qu’il continue de soutenir aujourd’hui. «Nous soutenons une collaboration public-privé qui renforce notre cybersécurité dans tous les secteurs, y compris les pipelines, au profit de tous les Américains», a déclaré Matthew Eggers , vice-président de la politique de cybersécurité de la Chambre.Les experts en cybersécurité et les responsables gouvernementaux ont mis en garde pendant des années sur les conséquences d’un piratage de pipeline, y compris en 2019 lorsque le bureau du directeur du renseignement national a publié un rapport avertissant qu’une cyberattaque pourrait perturber un pipeline. pendant des jours ou des semaines. »Néanmoins, il y avait une opposition générale des entreprises au projet de loi Lieberman, avec presque tous les secteurs concernés, des services financiers aux communications, s’impliquer pour avertir les mandats de cybersécurité proposés insérerait la main lourde du gouvernement dans les affaires des entreprises. les promoteurs ont averti que les mandats étaient essentiels pour garantir l’existence de garanties suffisantes. au milieu d’un barrage d’attaques de plus en plus sophistiquées contre des entreprises privées exploitant des centrales électriques, des barrages et d’autres infrastructures essentielles.Al-Qaïda VideoWeeks après l’introduction du projet de loi, le ministère de la Sécurité intérieure a averti que les pirates avaient passé des mois à essayer d’infiltrer les systèmes informatiques pour un certain nombre de exploitants de gazoducs. ABC News a rapporté que le FBI avait obtenu une vidéo d’Al-Qaïda appelant au «jihad électronique» contre les infrastructures critiques américaines. Et la société de sécurité informatique McAfee Corp. a mis en garde contre des cyberattaques coordonnées et en cours contre les entreprises énergétiques mondiales en 2011.Les épisodes de piratage ont annoncé à quel point les systèmes de distribution de carburant sont séduisants pour les cybercriminels, comme le groupe lié à la Russie qui a utilisé le ransomware DarkSide pour contenir les systèmes informatiques de Colonial. en otage vers le 7 mai. L’entreprise a été contrainte de fermer son réseau de canalisations d’environ 5 500 milles de long (8 851 kilomètres de long), qui fournit environ 45% du carburant utilisé sur la côte Est, provoquant des pannes dans les stations-service et le le paiement d’une rançon de 5 millions de dollars avant la reprise du service cinq jours plus tard. On ne sait pas si les mandats auraient contrecarré l’attaque, et les enquêtes sont toujours en cours. Colonial s’est engagé à «examiner toute proposition qui tire les leçons de cet événement qui renforce ou durcit notre infrastructure.» Les groupes de commerce du pétrole et des oléoducs insistent fermement que le moment n’est pas venu pour des mandats fédéraux normatifs. «Toute discussion sur la réglementation est prématurée jusqu’à ce que nous ayons une compréhension complète des détails entourant l’attaque coloniale », a déclaré Suzanne Lemieux, responsable de la sécurité des opérations et des interventions d’urgence chez API. «Mais nous sommes déterminés à poursuivre notre solide coordination avec tous les niveaux de gouvernement.» L’association professionnelle a ajouté dans un communiqué qu’elle était généralement alignée sur la Chambre sur la question en 2012 et a mis en garde contre une approche réglementaire normative universelle qui John Stoody, un porte-parole de l’Association of Oil Pipe Lines, dont les membres comprennent Colonial Pipeline, a déclaré: «Nous voulons que TSA fasse tout ce qu’elle envisage de faire.» «Par exemple, une exigence de déclaration trop large pourrait submerger TSA avec des centaines de milliers de rapports de cyberattaques chaque jour qui ne feraient aucun bien à personne », a-t-il déclaré.PartnershipChevron a déclaré dans un courrier électronique que la réglementation fédérale« devrait adopter une approche basée sur les risques »qui donne aux entreprises la flexibilité de se défendre contre les menaces. Et Exxon a noté que l’évolution rapide des cybermenaces signifie que «toutes les exigences de cybersécurité formelles et normatives pour l’industrie sont souvent dépassées une fois terminées». La Transportation Security Administration a depuis longtemps adopté une approche similaire. Un directeur de succursale du bureau des opérations de surface de l’agence s’est vanté l’année dernière que cela impliquait «très peu de réglementations» et une «approche coopérative de l’adoption par l’industrie de mesures de sécurité», selon une présentation archivée sur le site Web de l’agence. «Un règlement prend des mois ou des années pour changer», a déclaré Fox, dans un entretien téléphonique. «Avec ce partenariat, nous pourrions passer un coup de fil et dire que nous avons besoin que vous fassiez telle ou telle chose et nous y réagirions le lendemain.» Le républicain FilibusterFox a déclaré qu’il ne pensait pas que le projet de loi Lieberman aurait empêché la cyberattaque coloniale. Vous pouvez réglementer ce que vous voulez », a déclaré Fox. «Nous avons des réglementations sur les limites de vitesse et le contrôle des armes à feu et toutes sortes de choses, donc si vous réglementez quelque chose, cela ne signifie pas que cela ne se produira pas.» Finalement, en 2012, Lieberman et Collins ont édulcoré leur facture dans une tentative désespérée de gagner les républicains. pour le faire passer. Ils ont abandonné les mandats et les amendes au profit d’une mesure qui ne créerait que des exigences facultatives, mais même le projet de loi réduit ne suffisait pas. Les préoccupations persistantes concernant la responsabilité et la vie privée ont hanté la législation, et la Chambre s’est également opposée à la nouvelle version. Il a été battu à deux reprises par un flibustier dirigé par les républicains, perdant finalement neuf voix de moins sur les 60 nécessaires pour interrompre le débat en novembre 2012.Amy Myers Jaffe, professeur à l’Université Tufts et auteur de «Energy’s Digital Future», a déclaré que la cyberattaque coloniale pourrait C’est une référence au puits de pétrole du golfe du Mexique qui a explosé en 2010, tuant 11 travailleurs et provoquant le pire déversement de pétrole de l’histoire des États-Unis. pour avoir contribué à la catastrophe, a déclaré Jaffe. «C’est choquant pour moi de penser qu’une industrie qui aime se vanter de ses résultats en matière de sécurité aurait jamais fait pression contre l’adoption de normes gouvernementales obligatoires pour la cybersécurité dans les infrastructures énergétiques vitales.» D’autres articles comme celui-ci sont disponibles sur Bloomberg. Abonnez-vous maintenant pour rester en tête avec la source d’actualités commerciales la plus fiable. © 2021 Bloomberg LP