<div dir="ltr"><a href="https://www.msn.com/en-us/news/us/tsa-orders-pipeline-companies-to-disclose-breaches-after-colonial-hack/ar-AAKr5PR">https://www.msn.com/en-us/news/us/tsa-orders-pipeline-companies-to-disclose-breaches-after-colonial-hack/ar-AAKr5PR</a><br><div><br></div><div><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Companies that operate pipelines must alert the government whenever they suffer cyberattacks, the Transportation Security Administration ordered Thursday, in the Biden administration’s first effort to harden U.S. critical infrastructure after hackers disrupted the East Coast’s gasoline supply three weeks ago.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Pipeline operators also must preemptively assess their cybersecurity postures for weaknesses that could open the door to hackers, according to <a href="https://www.politico.com/f/?id=00000179-ae7e-dfee-a979-ae7e81150000" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)">the new TSA directive</a>.</p><div class="ec-module gmail-section-layout emsinline gmail-clearleft" style="box-sizing:border-box;margin:0px 2rem 0px 0px;padding:0px;width:auto;float:left;clear:left;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px"></div><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">The rule announced Thursday is the first-ever federal cybersecurity regulation for pipeline companies, which until now have faced only <a href="https://www.tsa.gov/sites/default/files/pipeline_security_guidelines.pdf" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)">voluntary TSA guidance</a>, including the suggestion that they report breaches. It comes as Congress is debating even more sweeping responses to this month’s disruptive Colonial Pipeline hack, such as proposals to mandate cyber incident reporting by all companies that operate critical infrastructure or provide key technology services.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">In addition, some lawmakers of both parties have suggested stripping oversight of pipeline security from the TSA, an arm of the Department of Homeland Security whose main duties include preventing terrorist attacks on commercial airliners.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">The cyberattack on Colonial, first disclosed May 7, prompted the Georgia-based company to shut down the 5,500-mile-long pipeline that supplies much of the East Coast’s gasoline, diesel and jet fuel, leading to hoarding and widespread fuel shortages.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">“The Colonial Pipeline ransomware attack was a powerful reminder … of why we need to take this action,” a senior DHS official told reporters during a Wednesday briefing.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Under the new rule, pipeline operators have 12 hours to report cyber incidents to DHS’ Cybersecurity and Infrastructure Security Agency, which is partnering with TSA on pipeline security. These reports must describe the incident's projected impact, technical details associated with the intrusion and all current and planned responses. Within 30 days, companies must also assess how their cybersecurity practices line up with existing TSA guidance and develop plans to fix any gaps.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">TSA will be able to impose daily penalties on companies that do not comply.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Within seven days, operators must also designate primary and alternate cyber employees to maintain 24/7 communication with TSA and CISA.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">TSA plans to issue<a href="https://www.washingtonpost.com/business/2021/05/25/colonial-hack-pipeline-dhs-cybersecurity/" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)"> a second pipeline cyber directive with more significant requirements</a> in the coming weeks, The Washington Post has reported.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">“This is step one in the immediate wake of the Colonial Pipeline incident, to be followed by more,” a senior DHS official said.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">The new incident-reporting requirement is meant to ensure that the government’s cyber defenders understand the nature and scope of digital attacks as they work to prevent further intrusions. Although Colonial alerted the FBI after discovering that it had been hit by an extortion attack known as ransomware, it did not provide technical data to CISA until several days later. The company also did not inform CISA that it had paid a multimillion-dollar ransom to regain access to its data.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">The new directive does not explicitly require pipeline operators to report ransomware payments, although such payments could fall under the order's mandate to report any "responses" to the incident.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">The Colonial hack exposed the shortcomings of the federal government’s current approach to defending critical infrastructure. Few of the 16 infrastructure sectors, which are managed by a cluster of different federal agencies, face mandatory cyber requirements.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">In addition, several of the agencies responsible for overseeing infrastructure, including the TSA and the Environmental Protection Agency, have little experience with cybersecurity and devote few resources to digital threats.<a href="https://www.gao.gov/products/gao-19-542t" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)"> In 2018, TSA’s pipeline security arm only had six full-time employees</a>, and the agency lacked a plan for ensuring that employees had the requisite cyber knowledge, according to a report from the Government Accountability Office.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">TSA now has enough personnel to enforce the new rule, a senior DHS official said, and those staffers have received training from CISA and other government experts. “We are continuing to expand that group,” the official said.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Through an existing partnership, CISA and TSA have conducted security reviews of 23 pipeline facilities since October 2020 and plan to conduct another 29 reviews in the next four months, according to the official.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">For years, federal cyber leaders and industry executives have<a href="https://www.eenews.net/stories/1060055209" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)"> emphasized cooperation rather than regulation</a> as a means of safeguarding infrastructure from hackers. But many companies — including some that run the United States’ power plants, water treatment facilities and other vital infrastructure — either ignore cybersecurity or devote too few resources and attention to it, creating weak links that can metastasize into bigger problems.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Biden administration officials have also touted the value of public-private partnerships and voluntary information sharing, but the Colonial hack appears to have galvanized the administration to pursue a stricter approach to protecting a vital part of the country’s energy system.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">“Even though we will have more structured oversight … we still look forward to a very collaborative relationship with the pipeline industry,” one senior DHS official said.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">But, another added, one lesson from the Colonial hack is that “we need to adopt a more muscular approach.”</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">Frustration with the voluntary approach has mounted in Congress, too. A bipartisan group of lawmakers is drafting legislation to require critical infrastructure companies and major IT service providers to disclose hacks to the government.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">TSA’s new rules are likely to spark intense pushback from the oil sector, which has opposed new regulations on its members even as evidence has mounted that voluntary standards are inadequate.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">“Any regulations should enhance reciprocal information sharing and liability protections, as well as build upon our robust existing public-private coordination to streamline and elevate our efforts to protect the nation’s critical infrastructure,” Suzanne Lemieux, the American Petroleum Institute’s manager of operations security and emergency response, said in a statement after the rule’s release. In mid-May, Lemieux said regulation was “premature” without “a full understanding” of the Colonial hack.</p><p style="box-sizing:border-box;margin:0px 0px 1.9rem;padding:0px;color:rgb(51,51,51);font-family:"Segoe UI","Segoe WP",Arial,sans-serif;font-size:20px">While TSA steps up its oversight of pipelines, some policymakers are questioning whether it is even the right agency to do that work. On the Hill, leaders of the House Energy and Commerce Committee are<a href="https://republicans-energycommerce.house.gov/news/pipeline-and-lng-cybersecurity-is-a-job-for-doe-not-tsa/" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)"> pushing for the Energy Department to take over TSA’s pipeline portfolio</a>. The chair of the House Homeland Security Committee, however,<a href="https://homeland.house.gov/news/press-releases/chairman-thompson-statement-on-new-tsa-security-directive-for-pipeline-cybersecurity-" target="_blank" tabindex="0" style="box-sizing:border-box;margin:0px;padding:0px;text-decoration-line:none;color:rgb(18,109,145)"> has argued that TSA has the necessary experience to retain its role</a>.</p></div></div>