保护美国电网免受网络攻击

北美电力可靠性委员会负责监督美国电网的可靠性和安全性。一些人认为它的NERC/CIP标准不足以保护发电厂的控制系统。你决定。

AW 555 NERC10.

除了确保持续的制造和生产,电网在帮助发达国家维持其公民享受的生活水平方面发挥着关键作用。美国2001年9月11日的恐怖事件以及随后的2003年美国东北部大规模停电事件提高了美国政府对电网的关键性质和脆弱性的认识。最终,电网的责任被授予了北美电力可靠性公司(NERC)。其使命是确保北美大容量电力系统的可靠性。NERC正在制定的一系列规则和建议影响着美国的每一家发电厂,也影响着所有行业的工业网络安全倡议。但它的决定并非没有争议。

NERC是联邦能源监管委员会(FERC)认证的电动可靠性组织(ERO),建立和执行批量电力系统的可靠性标准。NERC开发和强制可靠性标准;通过10年的预测,夏季和冬季预测每年评估充分评估;监控散装电力系统;教育,火车和认证行业人员。

许多人引用的一个问题是,这个组织是在很大程度上由它调节的公司组成。这导致收取它将缓慢融入的变化或试图定义规定,以便他们不适用于公司。其他收费是,这些费用不会意识到控制资产,例如分布式控制系统(DCSS),可编程逻辑控制器(PLC),远程终端单元(RTU),控制网络和其他设备等控制资产所扮演的关键作用。

NERC被指控遵守合规标准。过去八年左右,它开发了一套相对于本讨论的标准,被称为关键基础设施保护或CIP。该组标准通常被称为NERC / CIP。迄今为止的工作的症结一直是定义“关键基础设施”的内容。

标准的一个问题是,坚持标准是否会解决问题——或者产生新的问题。Matrikon的工业安全与合规集团(如今隶属于总部位于菲尼克斯的自动化系统供应商霍尼韦尔过程解决方案公司(Honeywell Process Solutions))的负责人里克•考恩(Rick Kaun)指出了这种情况:“每个人都会把重点放在合规上,而忽视这本该带来更好安全的问题吗?许多人觉得顺从不太安全。但根据现在的标准,如果你在做更严格的事情,你就必须继续。所以,如果你在内部出现失误,但仍然超出了标准,那你就不符合标准了。”

标准的发展时间表是提供在伴随的侧边栏中。遵循9/11的事件,提高了对美国恐怖袭击的可能性的认识。关键基础设施导致了NERC发布了紧急咨询1200.之后是UA 1300,然后是CIP标准002到009。

加拿大卡尔加里安全公司Abterra的首席安全官安德鲁Ginter(他还从博览会上写下了发现www.findingsfromthefield.com),提供对标准开发的深入了解。“NERC第1版被批准,并立即遭到严厉批评,原因是措词上存在明显的缺陷。一位NERC经理写了一份备忘录,说大量实体报告他们几乎没有关键资产,这是不对的。随后的重大变化与语言的强化有关,特别是在关键资产是什么方面。他们现在有一条清晰的规则,为你的资产是否符合标准设定了严格的标准。但批评之声从另一个方向继续着。他们没有允许企业定义自己的关键资产,而是设定了一个标准,许多人认为这个标准太高,以至于排除了太多的资产。在FERC进行评估期间,实施被推迟。”

受影响的是谁?

考恩,在他的“不安全感”博客(insecurity.matrikon.com说,“如果你一直关注周围的事件CIP版本1,2,3,该版本4,你肯定知道v4试图删除CIP 002,取而代之的主观成分的最高标准,旨在澄清哪些组件的网格需要考虑高的影响。迄今为止,NERC v4提交给联邦能源管理委员会和普遍的共识是,FERC将批准的版本在Q1和Q2然后乐趣将新发现的设施需要达到速度符合NERC CIP 003 - 009。

“嗯,我最近发现了从该计划中潜在的转移。从本质上讲,似乎Ferc不会只是橡皮戳。相反,FERC正在要求NERC澄清一下。有些涉及措辞/解释澄清,其他人包括基本统计数据,阐明了拟议措辞的影响程度,因此*不受影响的数量,或者仍然可能不受范围。最终,也许最有趣,澄清Ferc正在寻找适用于NERC提供更新的时间表和背景数据。从外面看,我看到这里的真正可能性,Ferc将期望Grid的更多组件更简洁(也许较短)时间表。“

在2009年4月7日的一份备忘录中,当时的NERC安全主管迈克尔·阿桑特(Michael Assante)谈到了对所有者/运营商自我识别关键资产的担忧——事实上,这引发了对潜在问题的根本问题的质疑。

Assante指出,大容量电力系统的设计能够承受最严重的单一突发事件,在某些情况下还能承受多重突发事件,而不会造成客户负荷或系统稳定性的重大损失。但在网络安全担忧的新世界,游戏规则发生了变化。

“系统规划人员和运营商需要考虑同时操纵变电站中的所有器件,或者在多个变电站上,更糟糕的是,ASSANE写道。“I have intentionally used the word ‘manipulate’ here, as it is very important to consider the misuse, not just loss or denial, of a cyber asset and the resulting consequences, to accurately identify CAs under this new ‘cyber security’ paradigm.”

Assante总结道:“网络威胁的一个更重要的因素,促成了网络风险的独特性,是网络技术的横切和横向性质,它为智能网络攻击者提供了同时从远处影响多个资产的手段。目前,对大容量电力系统构成挑战的大多数可靠性风险都导致了概率性故障,这些故障可以在规划和运行假设中进行研究和解释。就网络安全而言,我们必须认识到,在确定需要保护的内容时,可能同时出现资产损失和常见模式故障。这就是为什么保护规划需要在合理的运营和规划分析的基础上进行额外的、新的思考。”

位于苏黎世的自动化和电力解决方案供应商ABB集团的网络安全集团负责人Markus Braendle补充道:“CIP规定了你应该考虑的关键资产。一开始是由公用事业来决定,但现在它们变得更加具体。但这仍然不是在一个实际系统的背景下。CIPs应基于健全的风险评估和风险管理,而不仅仅是NERC的清单。此外,CIPs仍在谈论单个电子周长,但今天的最佳实践是纵深防御。”

没有达到控制水平

也许NERC最直言不讳的批评者是安全专家和应用控制解决方案的管理合伙人Joe Weiss,他也写了“不受约束”的博客www.controlglobal.com/unfettered)。他的一个大问题是标准达到了足够的控制水平。它们过于有限。“stuxnet将从考虑和保护中排除,因为它直接攻击了具有不可路由协议的PLC。下降标准的组件被定义为具有IP(Internet协议)可路由协议的组件。Stuxnet通过拇指驱动器传播。此外,调制解调器仍在某些实用程序中。这些是网络安全的,但没有覆盖,因为这些也是不可路由的协议。“

从Weiss开始令人困难的观察是他的观点,即不仅在保护整个系统方面不足以走得足够远,而且还增加了脆弱性。“电子没有org图表 - 既不是黑客,”Weiss说,追求和答案,“是nerc / cip用于攻击电网的路线图?它绝对积极地是。1号,是公开的。他们明确地告诉大家都被覆盖了什么,甚至是何时做某事的时间表。所以他们不仅可以说需要受到保护,还有什么时候它会完成。那是黑客的路线图。“

除了震网病毒外,韦斯还列举了其他一些事件的例子,如2010年9月9日加州圣布鲁诺天然气管道爆炸、奥罗拉柴油发电机网络攻击和1999年6月10日华盛顿州贝灵汉。管道事故。“这些事件都不是病毒、蠕虫或其他it相关问题。都是控制系统的东西。而这正是需要保护的。”

供应商关心吗?

过程系统供应商是否关心这一点以及他们的客户所面临的威胁?位于匹兹堡的艾默生过程管理公司的电力和水解决方案部门的业务开发和产品营销总监Gary Woodward指出:“我们90%的收入来自世界各地的发电厂。我们与这个用户群体密切合作。当他们看到有东西向他们扑来,我们就开始学习。我们确实有产品和服务,甚至不得不改变业务惯例——我们保证我们的技术人员在客户现场接受过培训,并有安全意识,因为我们对系统非常了解。”伍德沃德提到,艾默生正在通过增加更多的杀毒保护、不断加强系统、自动化补丁管理等措施来应对。

艾默生过程管理公司Ovation安全项目经理罗杰·潘(Roger Pan)表示,他注意到,即使是那些拖延实施NERC/CIP或其他网络安全措施的公用事业和发电客户,也被Stuxnet事件唤醒了。“他们正在把事情落实到位,因为他们知道这是一笔好生意。”

对于NERC更加关注它而不是控制系统,潘说,“今天的控制系统真的是IT系统。也许年前他们没有数字,但今天是不同的。这种情况更像是如何做的事情。仪器和控制(I&C)工程师负责工厂系统,并知道您不能重新启动并希望它将工作。我们认为是战场的是,它意识到了对NERC / CIP的需求,现在也是我的工程师。我经常参与客户并将所有的群体聚集在一起。“

艾默生的人仍然看到的一个问题是,太多的人仍然在使用微软的Windows NT。“我们做得很好,每3到5年更新一次。”

大量的记录

正如潘所指出的,NERC的部分新要求要求对所有相关资产进行大量的记录保存和分析。休斯敦自动化供应商PAS的完整性解决方案主管Nick Cappi说:“公司被要求记录从物理安全到应用程序安全的一切,甚至在设备上放置适当的横幅,以便人们知道设备的意图。它迫使供应商提供一个经过批准的应用程序级别、反病毒程序、第三方应用程序等列表。然后,他们需要所有覆盖设备的实体库存,包括plc、pc、dcs等。发电公司必须提供安装在设施中的非常完整的硬件和软件库存。”

汇编和维护这些信息将是一项艰巨的任务。卡皮曾听说,每个网站在两周内需要6个人来收集信息。但是PAS已经开发了一些工具来帮助维护所有这些信息。“目标是确保人们能够控制他们的系统——包括内部和外部——以确保他们不被入侵,”卡皮继续说。并认识到威胁不仅仅来自外部。PAS全球业务发展副总裁Mark Carrigan补充说:“从我所看到的一切来看,内部的风险——通过错误、错过更新等等——实际上比外部来源的风险更大。”

虽然争议继续要求是否足够严格,但公司高管在互联网时代安全开展业务的新现实中令人敬畏。他们终于认真对待网络安全。

北美电力可靠性公司
www.nerc.com

田野博客的发现
www.findingsfromthefield.com


不安全博客
insecurity.matrikon.com


无拘无束的博客

www.controlglobal.com/unfettered

栏:确保设施安全的7种方法,点击这里

栏:NERC标准开发时间表,点击这里

订阅Automation World的RSS Feed,适用于功能文章

更多有关水/废水