Содержание
- 1 Эволюция стандартов NERC CIP
- 2 Снижение рисков кибербезопасности в энергетическом секторе
- 3 Роль CIP в более широком контексте правил кибербезопасности США
- 4 Синергия между NERC CIP и другими киберструктурами
- 5 Внедрение соответствия CIP-013: проблемы и стратегии
- 6 Дорога впереди
- 7 Часто задаваемые вопросы
- 7.1 Вопрос: Каковы конкретные преимущества соответствия требованиям NERC CIP для кибербезопасности энергетического сектора?
- 7.2 Вопрос: С какими проблемами обычно сталкиваются компании при обеспечении соблюдения требований CIP и как они могут их преодолеть?
- 7.3 Вопрос: Как стандарты NERC CIP сочетаются с другими правилами кибербезопасности?
- 8 Вывод: соблюдать правила NERC CIP сложно, но важно
Киберугрозы, нацеленные на критически важную инфраструктуру, такую как энергетическая сеть, растут. Согласно отчету Business Today об индексе разведки угроз, количество атак на энергетические компании увеличилось на 50% по сравнению с предыдущим годом.
Это подчеркивает растущую важность соблюдения стандартов кибербезопасности. Стандарты CIP NERC играют жизненно важную роль в обеспечении безопасности важнейших энергетических активов в США. В этом сообщении блога рассматривается влияние соблюдения требований NERC CIP на повышение кибербезопасности.
Эволюция стандартов NERC CIP
Североамериканская корпорация по надежности электроснабжения (NERC) разрабатывает защиту критической инфраструктуры (CIP) – Соответствие NERC CIP — это стандарт надежности кибербезопасности для энергосистем (BES) в Северной Америке. Эти стандарты значительно изменились за последние 15 с лишним лет:
- Версия 1 CIP (2006 г.) – первоначальные стандарты CIP были сосредоточены на идентификации критически важных киберактивов, средствах управления безопасностью, персонале и обучении, электронной безопасности, физической безопасности и управлении безопасностью систем.
- Версия CIP 2 (2008 г.) – Постепенные обновления, расширяющие предыдущие требования CIP, подчеркивающие возможности аудита и подотчетности.
- Версия 3 CIP (2009 г.) – существенный пересмотр, касающийся объема активов, подпадающих под CIP, посредством пересмотренных классификаций воздействия BES. Стандарты относятся к категориям от CIP-002 до CIP-009.
- Версия CIP 4 (2013 г.) — усиленная защита киберактивов, такая как шифрование, ведение журналов и сложность паролей, ориентированная на высокоэффективные киберсистемы BES.
- Версия CIP 5 (2016 г.) – введены расширенные меры безопасности и подходы к оценке на основе рисков, основанные на новейших киберугрозах.
- CIP Версия 6 (2020 г.) — новые стандарты, расширяющие надежность защиты активов с низким уровнем воздействия и подчеркивающие кибербезопасность цепочки поставок.
Эволюция версий NERC CIP демонстрирует, как стандарты постоянно адаптируются для решения возникающих приоритетов кибербезопасности в постоянно меняющемся цифровом мире.
Снижение рисков кибербезопасности в энергетическом секторе
Признавая растущие киберугрозы, НКРЭ разработала восемь новых или пересмотренных Стандарты надежности CIP в 2017 году основное внимание уделялось устранению уязвимостей в киберсистемах Bulk Electric System (BES) высокого и среднего воздействия. Они были нацелены на следующие области кибербезопасности:
- Электронный контроль доступа — CIP-003-7 усиливает защиту, регулирующую доступ пользователей и предотвращающую несанкционированную деятельность.
- Информированность и обучение. CIP-004-6 требует улучшения обучения безопасности и оценки рисков персонала.
- Категоризация киберсистемы BES – CIP-002-5 расширяет методы выявления и классификации воздействий киберсистемы BES.
- Отчеты об инцидентах. CIP-008-6 требует быстрого уведомления о событиях безопасности и готовности к реагированию.
- Управление изменениями конфигурации. CIP-010-3 требует контроля за изменением киберактивов в целях безопасности.
- Планирование информационной системы – CIP-013-1 представляет защиту цепочки поставок киберактивов.
- Планы восстановления. CIP-009-6 делает планирование восстановления системы обязательным для обеспечения надежности.
Эти стандарты снижают риски, начиная от несанкционированного доступа и заканчивая плохими методами обеспечения безопасности поставщиков, которые угрожают киберактивам энергосистемы. Их реализация явно снижает уязвимость к кибератакам.
Роль CIP в более широком контексте правил кибербезопасности США
Стандарты надежности NERC CIP — это один из наборов обязательных правил электроэнергетической отрасли в Северной Америке. Конкретно:
- NERC имеет 14 обязательных стандартов надежности BES для обеспечения безопасности и надежности сетевых активов.
- 11 из этих 14 обязательных стандартов надежности в настоящее время подпадают под действие CIP, ориентированного исключительно на кибербезопасность.
- CIP не подпадает под какие-либо другие правила, что делает его основным органом, регулирующим киберзащиту электроэнергетической инфраструктуры.
Другие правила кибербезопасности в сфере критической инфраструктуры США включают:
- HIPAA – Закон о переносимости и подотчетности медицинского страхования
- SOX – Закон Сарбейнса-Оксли
- GLBA – Закон Грэма Лича Блайли
Они занимаются здравоохранением, финансовым аудитом и безопасностью сектора финансовых услуг соответственно.
Источник данных: Отчет о состоянии надежности.
Как показывают приведенные выше данные, даже несмотря на то, что киберугрозы растут в геометрической прогрессии, CIP продолжает оставаться центральной силой, обеспечивающей улучшение возможностей кибербезопасности исключительно во всей инфраструктуре электроэнергетики посредством регулярных изменений.
Синергия между NERC CIP и другими киберструктурами
NERC обновила свой документ о переходах, сопоставляющий стандарты CIP с признанной в отрасли структурой кибербезопасности NIST.
Такое согласование позволяет организациям использовать свою работу по обеспечению соответствия CIP при принятии подхода, основанного на рисках, в рамках NIST. Это также обеспечивает соответствие международным стандартам, таким как ISO 27001.
Внедрение соответствия CIP-013: проблемы и стратегии
- Знание того, какие новые средства управления безопасностью и программное обеспечение необходимы. Нанимаем консультантов, которые разбираются в системах и цепочке поставок, для консультирования по требованиям CIP-013.
- Работа с поставщиками, которые знают, как защитить свою продукцию. Часто обсуждать с поставщиками потребности в безопасности и корректировать технологии.
- Привлечение всех отделов компании к совместной работе над соблюдением требований. Создание команды из представителей ИТ, операций, финансов, юристов и т. д. Это помогает определить, что замедляет работу.
- Управление всеми сложными частями. Получение помощи от хороших партнеров и сотрудничество всех внутренних групп.
CIP-013 требует контроля безопасности для цепочек поставок киберактивов. Но ограниченность ресурсов создает препятствия для внедрения:
| Испытание | Стратегия |
| Приобретение продуктов, отвечающих повышенным требованиям безопасности. | Работайте с поставщиками на ранних стадиях подготовки предложений |
| Поглощение возросших затрат на более безопасные продукты | Баланс между безопасностью и разумным бюджетом |
Обеспечение участия высшего руководства в распределении обязанностей по кибербезопасности между подразделениями также является ключом к успешной реализации.
Дорога впереди
Хотя существующие стандарты позволяют повысить безопасность, новые угрозы требуют дополнительных мер защиты:
- Расширенные требования к цепочке поставок, направленные на устранение рисков устройств 5G и IoT.
- Меры по тестированию облачной безопасности адаптированы к виртуализированным вычислительным средам.
- Обучение безопасности, требующее использования новейших тактик обнаружения угроз и реагирования на них.
Бдительное совершенствование стандартов кибербезопасности, таких как NERC CIP, имеет важное значение для противодействия быстро развивающимся атакам, нацеленным на критически важную инфраструктуру электроснабжения.
Часто задаваемые вопросы
Вопрос: Каковы конкретные преимущества соответствия требованиям NERC CIP для кибербезопасности энергетического сектора?
Ответ: Помимо предотвращения штрафов, соответствие стандартам CIP напрямую улучшает протоколы безопасности, требуя надежного контроля доступа, расширенного мониторинга системы, регулярного тестирования и оценочного аудита, а также общей культуры безопасности, учитывающей риски.
Вопрос: С какими проблемами обычно сталкиваются компании при обеспечении соблюдения требований CIP и как они могут их преодолеть?
Ответ: Недостаточные ресурсы и отсутствие поддержки со стороны руководства являются распространенными препятствиями для соблюдения требований CIP. Разработка политик, регулирующих общую ответственность, приобретение решений, отвечающих требованиям, и сотрудничество со знающими поставщиками помогают решить эти проблемы.
Вопрос: Как стандарты NERC CIP сочетаются с другими правилами кибербезопасности?
Ответ: Сопоставления NERC показывают соответствие CIP NERC таким руководствам, как NIST Cybersecurity Framework, что позволяет организациям эффективно использовать усилия по обеспечению соответствия. Они также демонстрируют роль CIP в более широком законодательном ландшафте США.
Вывод: соблюдать правила NERC CIP сложно, но важно
Следовать за изменением правил кибербезопасности NERC CIP сложно, но это важно для компаний, предоставляющих критически важные услуги в области электроснабжения. Это помогает защитить их чувствительные компьютерные системы от сложных кибератак.
Поскольку правила совершенствуются, чтобы соответствовать новым технологиям, этим компаниям следует сотрудничать со специалистами по компьютерной безопасности и компаниями, производящими инструменты кибербезопасности. Совместная работа поможет обеспечить защиту, соответствующую правилам, и повысить безопасность.
Компании должны продолжать укреплять свою защиту, чтобы хакеры не захватили важные компьютерные системы, на которые мы все полагаемся.