企业文化秒杀战略(Culture eats strategy for breakfast.)——商业大师彼得·德鲁克首先对组织中文化的力量,以及采用新技术、新流程或资源的文化变革来获取成功的必要性进行了深刻的观察。
公用事业公司通常在安全文化建设方面做得非常出色,安全守则是减少伤害和避免生命损失的保证。显然,公用事业仍然是位于前10名的危险工作,但公用事业部门仍在努力提高安全意识,尽管更多努力的回报已经不再明显。创建类似强大的网络安全文化是公用事业公司复制以往成功的记录的一个很好的模式。
为什么这么说呢?公用事业所维护的关键基础设施是保持经济和社会正常运转的保障。北美电力可靠性公司(NERC)最近指出,在考虑对关键基础设施的保护时,可靠性和安全性是相互交织的。作为其网络安全战略的一部分,公用事业部署了广泛的技术和服务,但据观察,仍存在「企业文化秒杀战略」的问题——即:战略做得再好,如果企业文化不能够支持,那也无法成功。电力研究所(EPRI)了解文化和战略在公用事业网络安全方面是相互交织的。
如何创建网络安全文化?它需要将组织重点应用于培训;个人、部门和全公司的绩效目标;并采用可降低网络风险的技术和实践。正如公用事业使用工具和经验来帮助线路工人安全地执行任务一样,公用事业公司也必须部署类似的工具和实践,让网络安全团队识别并保护电网运营中的所有资产。网络安全文化的创建需要所有管理层的承诺,但最重要的是在最高层。在公用事业中建立网络安全文化的良好战略将渗透到组织的各个层面。
从哪儿开始
许多公用事业公司通过教育开始建立网络安全文化。例如,培训员工发现电子邮件网络钓鱼的尝试。这是重要的第一步,因为电子邮件是攻击者有条不紊地访问包含敏感数据和关键操作系统的通用入口点。但是,公用事业网络安全不仅仅是信息技术(IT)或企业活动。必须在公用事业运营技术系统(OT)和IT系统中部署强大的纵深安全防御措施。过去我们通过「隐蔽实现安全」(security-through-obscurity)[1],现在可能需要做出重大转变。 电网运营资产包括从高压变电站中的部件到屋顶智能逆变器等,这些设备具有远程传输状态和控制命令的通信功能。
为了成功地通过「隐蔽实现安全」,EPRI认识到公用事业需要部署基于OT的网络安全技术和实践。网络安全研究旨在提供实用的防御广度以及纵深防御知识。电力供应链包括发电、输电、配电和用电。电网现代化为这些环节带来了新的网络安全挑战,公用事业以一种有凝聚力而非孤立的方式应对这些挑战至关重要。EPRI最近发起了一项新计划,旨在帮助公用事业部署深度防御和扩展计划,以及符合国家标准与技术研究院(NIST)网络安全框架的技术,[针对网络安全问题]以识别、保护、检测、响应和恢复。
供应链安全
最新的有关嵌入设备中的虚假组件问题,提高了公用事业对技术受损的担忧。公用事业如何确保其部署技术的设备供应链不会在其运营系统和电网运营中引入新的漏洞?这是一个复杂的问题,EPRI计划制定有广度的防御计划。
广泛防御意味着与供应商合作以减少安全漏洞。EPRI的协作供应链研究包含供应商,为公用事业网络安全奠定坚实的基础。
研究人员正在研究一种标准化方法,以降低设备采购风险,以利于发电、输电和配电业务进行采用。公用事业使用一种共享或类似的方法可以降低识别设备和服务供应链安全威胁的复杂性以及采取适当的缓解措施。EPRI拥有完整、结构化的供应商参与特定研究活动的悠久传统。该计划旨在将供应商纳入此项研究,并协作开发可提高设备供应链安全性的流程。总体结果将有助于为公用事业创建网络安全文化并奠定坚实的基础。
网络强化变电站
黑客已经盯上了公用事业部门的数据监视与采集系统(SCADA),其中包括影响SCADA系统可见性的问题,如切断网络或拒绝服务攻击DDoS。幸运的是,事件并未导致服务中断,但未来的事件可能会产生可怕的后果。一个瘫痪的变电站可能会影响成千上万的客户,并造成经济和社会的破坏。如果它们是最近建成的,[可能会受到的影响更大],一般来说美国的变电站是传统设备和新设备的组合。
有些供应商提供工业或电网运行安全解决方案,但这些解决方案的影响以及与新的和现有变电站设备的集成往往是未知的或没有记载的。这些解决方案如何保护底层的传统控制系统?真正的整合成本是多少?回答这些问题将有助于公用事业公司扩展其网络安全文化思维模式,以便他们可以使用分层方法创建实施计划,以降低集成多个系统的风险。
EPRI的研究人员将扮演蓝军团队角色,以确定潜在的网络安全差距,并在EPRI网络安全研究实验室中开发和测试缓解措施。然后,将测试以评估红队已部署的相关措施。这项纵深防御研究将验证强化网络安全的变电站,为变电站升级决策提供信息并改进成本预测。它还将提供有价值的信息和经验,以支持任何公用事业的网络安全思维,并充分考虑威胁识别和防护。
从电网到边缘
保险公司以了解风险为己任。「保险日报」最近的一篇文章指出,到2021年,将有200亿台智能家居设备上线。消费类产品是制造军备竞赛的缩影,正在加速推出新功能。这种速度通常是以牺牲安全为代价的。即使在产品中设计了安全性,可能也只是那种消费者不要更改的默认密码,很容易被利用来创建新的漏洞。家庭和企业中的智能设备处于电网边缘,它们显着增加了公用设施受到的攻击面。
EPRI深度防范和研究范围包含解决这个问题。EPRI将「从电网到边缘」(Grid 2 Edge, G2E)定义为整个公用事业需要协调的网络资产安全架构,从大型发电厂到变电站,再到分布式可再生能源,再到控制中心,最后到连接设备——消费设备。通过协调电力供应链区域的安全性,公用事业公司将能够提供广泛的防御,同时更容易规划和管理不同区域的安全性。
新的DER特遣部队
EPRI最近在其公用事业成员中建立了一个工作组,专注于与公用电网互连的分布式能源(DER),包括光伏系统、储能系统、电动汽车充电系统、微电网和支持DER的其他技术。该小组将为研究目标和参与研究活动提供指导。
EPRI将于今年为受邀的利益相关方(包括公用事业、监管机构和制造商)举办DER网络安全研讨会,讨论保护DER资产的最新最佳实践和经验教训。这些活动将使业界能够合作降低电网连接设备的网络漏洞风险。
EPRI的研发组织在网络运营安全指标中发现了公用事业安全工具与对网络安全风险理解、管理方法上的重要差距
衡量标准面临的挑战
电力和电信研究的早期明星,凯尔文勋爵[2],曾说过:「当你能衡量你所说的话,用数字表达时,你就会知道一些事情。当你无法用数字来表达时,你的知识是微不足道的,无法令人满意;它可能是知识的开始,但在你的思想中,你几乎没有进入科学的阶段」。换句话说,如果可以衡量它,它就可以被管理。他广泛参与热力学和电力数学分析的第一和第二定律的制定,他很好地掌握了数字的价值。
EPRI对其网络安全研究中的数值计算表示赞赏。已经观察到公用事业公司在测量各种以运行为重点的网络安全技术和实践的影响方面遇到的困难,这些技术和实践旨在降低风险和脆弱性。许多工具和服务可以帮助评估企业和IT性能。公用事业公司可以随时获得有关网络钓鱼率的可量化数据,并跟踪上升或下降的趋势,以衡量教育工作和反恶意软件工具的成功与否。网络钓鱼分数可以通过建立意识以及突出实现目标的成功或失败来帮助改变公用事业网络安全文化。
然而,在关键任务运营所在的公用事业的OT方面,缺乏衡量风险降低的数学方法和工具。EPRI正在开发专注于运行数据的网络安全指标(电力部门的网络安全指标:第3卷 - 产品ID 3002010426是公开的[3])。这个多年的项目确定了最有用的数据点,并创建了公式,以构建47个有助于网络安全分析师的运营指标。
这是一个很好的看板,用于传达详细的结果以做出明智的决策,但公用事业中的不同角色需要不同的方式来理解信息。研究结果包括将这一细节汇总到10个战术指标中,这对管理人员和董事评估绩效和需要改进的领域非常有用。由于重要的投资决策是在组织的顶层进行的,因此这些网络安全指标可以汇总到三个战略指标,分别是:保护、检测和响应分数。
这是可量化的信息,可帮助公用事业管理人员评估网络安全投资选项并评估已部署解决方案的性能。它还有助于推动从上到下调用变更的对话,这对于公用事业构建成功的组织网络安全文化非常重要。
基本要点
公用事业网络安全是所有公用事业员工和行业利益相关者的责任。有一些警示性的教训和例子可以鼓励每个人在深度和广度上积极地为公用事业网络安全防御做出贡献。网络安全文化是缓解网络安全威胁的一个很好的起点,但它只是公用事业综合网络安全战略的一部分,可以减少网格漏洞和风险暴露。EPRI的结果和正在进行的研究为公用事业提供了许多选择,以扩展和加强其运营网络安全计划的深度和广度的防御。
题外话:思考练习:可能会发生在这里
当应用国家标准与技术研究所(NIST)的框架来评估保护、检测、响应和恢复公用事业漏洞时,想象失败是对危险的放纵。这些对假设情景的遗漏增更强化了风险,原本可以通过适当缓解来识别和解决。
这是一个需要细致考虑的方案。智能逆变器制造商的固件更新服务器(OTA)在持续的鱼叉式网络钓鱼活动后被黑客入侵。然后,攻击者上传修改后的固件,这些固件会调用恶意远程命令和控制服务器。最后,远程访问逆变器允许攻击者干扰设备的正常操作,可能对设备和电网操作造成伤害。
欲获得更多信息:
EPRI | www.epri.com
NERC | www.nerc.com
The Depth and Breadth of Cyber Defense
EPRI is developing critical components to establish and maintain a utility cybersecurity culture.
https://www.tdworld.com/grid-security/depth-and-breadth-cyber-defense
Christine Hertzog | Sep 06, 2019
更多内容请关注「输配电世界」微信公众号,欢迎联系转载
-
Security Through Obscurity (STO)「隐蔽实现安全」 是一种理念,只要其实施组之外的任何人都无法了解其内部机制,任何类型的系统都可以是安全的。......一旦秘密消失,那就意味着安全的终结。 ↩
-
威廉·汤姆森,第一代开尔文男爵(William Thomson, 1st Baron Kelvin,1824年6月26日-1907年12月17日),即开尔文勋爵(Lord Kelvin),在北爱尔兰出生的英国数学物理学家、工程师,也是热力学温标(绝对温标)的发明人,被称为热力学之父。他在格拉斯哥大学时与休‧布来克本(英语:Hugh Blackburn)进行了密切的合作,研究了电学的数学分析、将第一和第二热力学定律公式化,和把各门新兴物理学科统一成现代形式。他因认识到了温度的下限(即绝对零度)而广为人知。来源:维基百科。 ↩
-
Cyber Security Metrics for the Electric Sector: Volume 3 - Product ID 3002010426 is publicly available. https://www.epri.com/#/pages/product/3002010426/ ↩
网友评论