对于能源行业的高管来说,这并不是一个愉快的冬天。他们一再醒来,发现西北和东南部的变电站遭到物理攻击,一家大型工程公司成为勒索软件网络攻击的目标,可能破坏了公用事业数据。联邦监管机构正在注意到这一点。12 月 7 日,联邦能源监管委员会 (FERC) 和能源部网络安全、能源安全和应急响应办公室 (CESER) 召开联合技术会议,讨论在大容量电力面临的威胁日益增加的情况下的供应链风险管理系统。多个政府参与者确定可能需要规范电气行业中软件物料清单和硬件物料清单的使用。几天后,FERC 指示北美电力可靠性公司 (NERC) 重新审查其物理安全可靠性标准 CIP-014-1。就国会而言,通过将 CESER 的预算增加近 7 倍来应对能源基础设施日益增长的网络安全威胁。针对包括电动汽车在内的分布式能源 (DER) 的网络安全攻击也在激增。在其最近的报告 《美国电网分布式能源的网络安全考虑》中,CESER 认为 DER 运营商、供应商、开发商、所有者和聚合商面临的网络安全威胁构成重大且不断增长的风险。能源部也将很快发布一份报告,由国会在基础设施投资和就业法案中授权,确定加强分布式资源和配电系统的物理和网络安全的政策和程序。最近针对关键基础设施的物理和网络安全事件暴露了一些公司的重大漏洞,客户和联邦政府都在推动私营部门减轻这些威胁,以此作为开展业务的条件。尤其是联邦政府,希望他们的私营部门合作伙伴采取更好的安全卫生措施,评估供应链风险,并为快速响应事件做好准备,包括快速通知客户、监管机构和公众。以下是能源行业公司在 2023 年应关注的一些最佳实践:
- 符合 NERC 的关键基础设施保护 (CIP) 标准。违反适用的 NERC CIP 可靠性标准会使大容量电力系统设施的用户、所有者和运营商受到每天每次违规最高 1,496,035 美元的民事处罚。
- 关键 IT 和 OT 系统的综合评估。对当前和潜在的系统漏洞进行全面评估是能源行业公司可能考虑采用的领先网络安全行业实践。例如,他们可以通过定期清点信息技术和运营技术系统来做到这一点,包括评估补丁管理流程、执行信息安全和物理风险评估,以及记录和定期审查系统安全计划和相关运营文件。
- 明确角色和职责。建立明确的网络安全相关角色和职责有助于企业有效应对网络风险,例如确保企业高管、法律团队和关键人员(如首席信息安全官、首席信息官)官员、首席合规官和首席隐私官了解各自的角色,并在“一切照常”运营期间和发生潜在网络安全事件时就其职责提供明确的指导。
- 网络安全事件响应计划. 制定网络安全事件响应计划(或“IRP”)是领先的网络安全行业实践,甚至可能是某些公司的监管要求。IRP 是在网络安全事件发生之前制定的“剧本”,旨在为负责任的利益相关者提供指导以应对潜在事件,并指导公司以有组织和有效的方式完成该响应。IRP 通常包括关键组成部分,例如个人和团队的角色和职责、联系人列表、有关内部升级流程的详细信息(例如,关于向政府实体的通知)以及技术团队的指南。公司可以用支持材料来补充他们的 IRP,例如关键管理人员和人员的检查清单。
- 网络安全桌面演习。桌面演习是模拟,旨在测试公司对潜在网络安全事件的响应及其事件响应计划的应用。这些练习通常由律师协助并在特权下进行。值得注意的是,Ponemon Institute 在 IBM Security 发布的一份报告中报告说,拥有事件响应团队并通过桌面演习或模拟测试其计划的公司比没有的公司平均减少 266 万美元的数据泄露相关成本。
- 供应链风险缓解。公司的供应链可能会增加网络威胁的风险,包括数据泄露、供应链破坏和恶意软件攻击;然而,减轻这些风险的策略是可行的,例如实施协议以持续评估和监控第三方风险,了解和控制谁有权访问公司最有价值和敏感的数据,并确保第三方合同包括网络安全要求。联邦政府已经认识到解决此类供应链风险的重要性,并 颁布了2021 年第 14028 号行政命令、改善国家网络安全和 2022 年 OMB 备忘录 两者都对政府实体施加了软件供应链安全性和完整性的标准,并且还要求第三方软件供应商在其软件用于政府信息系统或影响政府时遵守国家标准与技术研究所发布的标准信息,包括与政府承包商共享的信息。
- 信息共享机会。去年 3 月,国会通过了《2022 年关键基础设施网络事件报告法》(CIRCIA),要求关键基础设施在紧迫的时间内向网络安全和基础设施安全局 (CISA) 报告重大网络事件和勒索软件付款。尽管 CISA 尚未颁布实施 CIRCIA 的规则,但它已为利益相关者提供了有关共享网络事件信息的指南,强调了信息共享对于我们的集体防御和加强国家网络安全的重要性。除了联邦政府规定的信息共享要求外,公司还可以考虑在受信任的环境中共享信息,包括与其信息共享和分析中心 (ISAC) 共享信息。
