NERC 2021年度报告:需要持续关注并改进电力行业的网络防御
2022-03-20
来源:互联网安全内参
NERC(北美电力可靠性公司)当地时间16日提交了其2021年电力行业年度报告,主要强调需要继续专注于改善网络防御。此外,随着电网的发展和跨部门相互依存度的增加,行业必须适应威胁环境,在这种环境中,对手采用新策略、利用新漏洞以及潜在影响的规模正在发生变化。
进入2022 年,ERO(电力可靠性组织)企业将专注于解决提高大容量电力系统 (BES) 对广泛、长期和极端温度事件的弹性的四个风险要素,加强规划和运营重点,超越容量以实现能源充足,增强CIP标准的结构,包括审查和改进明线风险标准,并通过信息共享、通信和监控关键安全威胁来扩大E-ISAC的影响。
NERC报告强调,在地缘政治事件、新漏洞、技术变化以及越来越大胆的网络犯罪分子和黑客活动家的引导下,网络安全格局继续演化。在过去几年中,NERC 观察到恶意网络活动的频率和复杂程度大幅增加。
“我们与能源部 (DOE) 在100 天冲刺中部署OT监控工具的工作,再加上网络安全风险信息共享计划 ( CRISP ),有可能成为我们检测能力的真正改变者。NERC 总裁兼首席执行官 Jim Robb在《2021年度报告》中 写道。
报告称, NERC 的电力信息共享和分析中心 (E-ISAC) 在 2021年观察到供应链受损和勒索软件攻击、恶意软件和网络钓鱼活动。由于远程办公的增加,COVID-19 大流行还需要增加远程网络安全攻击面,这需要E-ISAC与各级电力企业、美国和加拿大政府以及合作伙伴进行比以往更多的共享和协作。
NERC董事会主席Kenneth DeFontes, Jr在报告中写道:”E-ISAC 一直在通过警报和其他沟通工作深入解决网络安全问题及其对行业的影响。“正是这种信息共享和分析的结合,以及CIP标准,为整个北美的BP 提供了至关重要的防御。需要结合必要网络安全的稳健设计和新研究工具来支持电网转型并帮助确保可靠性和弹性,”他补充说。
2021年年度报告还强调了E-ISAC开展的工作及其对不断出现的网络和物理安全威胁的回应。继2020年12月SolarWinds遭到入侵后,Microsoft Exchange本地版本、Pulse Connect Secure VPN平台、Kayesa产品、Blackberry/QNX 操作系统和 Apache 无处不在的Log4j工具都发现了漏洞。
“这些危害事件还强调了NERC的关键基础设施保护 (CIP) 电子安全周边可靠性标准要求的价值,如果它们进入操作系统,这将有效地减轻大多数(如果不是全部)攻击的激活,”Robb 说。
鉴于不断变化的行业格局,ERO企业长期战略集中在NERC调整其绩效管理的五个重点领域。其中包括在标准、合规性监控和执行方面扩大基于风险的重点,评估和促进措施以减轻已知和新出现的可靠性和安全性风险,建立强大的基于E-ISAC 的安全能力,加强整个可靠性和安全生态系统的参与度,并抓住有效性、效率和持续改进的机会。
2021年年度报告称,在这些重点领域中,有几个关键目标为去年开展的工作奠定了基础。2021年ERO企业工作计划优先事项解决了一个转型行业,NERC需要在该行业中保持敏捷,以应对出现的任何新兴风险。ERO Enterprise与行业、论坛、政府和其他组织密切合作,对BPS的重大已知可靠性风险进行持续分析。
在2021年11月的会议上,董事会批准了2022年ERO企业工作计划优先事项,确定了来年的主要优先事项。8 月,NERC的2021 ERO可靠性风险优先级报告提供了BPS现在和未来面临的风险格局的整体视图,并作为识别关键新兴风险和应对这些风险的潜在缓解活动的路线图。
NERC 2021年度报告还重点关注了供应链风险缓解的重要性,这自2016年以来一直是NERC的优先事项。尽管如此,在过去两年中,由于国家实施的供应链攻击显着增加,这一点得到了进一步的强调。报告补充说,如果没有值得信赖的供应商与资产所有者和运营商合作,该行业将难以提高或维持可靠性,同时直接解决对电网日益增加的安全威胁。
3 月,FERC批准了CIP-005-7——网络安全——电子安全边界、CIP-010-4——网络安全——配置变更管理和漏洞评估,以及 CIP-013-2——网络安全——供应链风险管理,这些标准将于2022 年10月1日生效。联邦能源监管委员会(FERC)还指示 NERC进行一项研究,以评估CIP-003-8电子访问控制的实施情况,并确定控制措施是否提供所要求的足够的安全性。
NERC的2021年年度报告发布之际,网络安全和基础设施安全局(CISA)已发布“屏蔽”警报,通知该国每个组织存在网络威胁的潜在风险,这些威胁可能会破坏基本服务并可能对公众造成影响安全。该警报是在俄罗斯可能入侵乌克兰带来的地缘政治紧张局势加剧之后发出的。