美国联邦能源监管委员会(FERC)最近表示,它正在探索改善美国电网网络安全的方法。2020年6月18日,FERC发布了一项查询通知书(NOI)关于是否必须加强其关于网络安全的一些可靠性标准,以及是否必须改变其标准的重点,因为针对地理分布的发电资源的协调网络攻击的威胁。2020年6月18日,FERC还发布了一项员工纸这就提出了一个为网络安全投资提供传输速率激励机制的框架。
这些FERC的行动可能预示着监管行动,可能对所有电网参与者产生实质性的运营和成本影响。因此,FERC正在就这两份文件征求意见,NOI的截止日期为2020年8月24日,员工论文的截止日期为2020年8月17日。主要电网参与者将被建议评估NOI和工作人员文件,并考虑回应FERC的评论请求。
查询通知书
FERC负责监督批准和执行标准,以确保美国电网的可靠性。这些标准包括关键基础设施保护(CIP)可靠性标准,这需要个别用户、业主及大容量电力系统(BES)的营办商[1]遵守保护重要网络资产的要求。这些标准已多次更新,以适应不断变化的网络安全形势。
FERC于2008年批准了第一套CIP可靠性标准,并指示北美电力可靠性公司(NERC),负责制定可靠性标准的组织,将美国国家标准与技术研究所(NIST)作为改进这些标准的来源。从那时起,NIST开发了网络安全框架[2](NIST框架),以降低关键基础设施的网络风险。
FERC调查的第一个方面当前CIP可靠性标准是否没有充分解决某些NIST框架类别。NOI确定了NIST框架的三个类别,这些类别在CIP可靠性标准中可能没有得到充分解决,因此可能反映出潜在的可靠性差距。
与数据安全有关的网络安全风险。此类别指定管理信息和记录(即数据)的活动,该活动与组织的风险策略相一致,以保护数据和系统的机密性、完整性和可用性。FERC特别指出了两个缺口。首先,根据NOI, NIST类别要求有足够的能力以确保数据和系统保持可用性(即数据和系统在需要时可被授权方访问),可靠性标准似乎没有解决。其次,NIST类别要求流程验证软件、固件和信息完整性,这只解决了部分问题,导致系统可能暴露给恶意行为者,他们可以绕过现有的安全控制而不被发现。
异常和事件的检测。此类别确定用于检测异常活动并评估对BES网络系统的潜在影响的安全控制。[3]NOI强调CIP可靠性标准关于事件报告和响应计划(cip - 008 - 5)只适用于中、高影响的BES网络系统。因此,如果低影响的BES网络系统被破坏,并且没有执行分析,那么如果威胁使用低影响的系统来访问中等和高影响的系统,网格参与者可能无法做出适当的响应。
缓解网络安全事件。此类别指定用于防止网络安全事件扩大、减轻其影响并解决事件的活动。根据NOI, CIP可靠性标准要求责任实体记录其网络安全事件响应计划和处理事件的程序(cip - 008 - 5)并不特别要求NIST框架中概述的事件遏制或缓解,也不适用于低影响系统。因此,对低影响系统的不适当的遏制或缓解可能导致中等和高影响系统的影响。此外,解决减轻新发现的漏洞需求的可靠性标准(CIP-010-2)不适用于低影响系统。
FERC就当前CIP可靠性标准是否充分解决了NIST框架中支持大容量电力系统可靠性的方面以及当前和预计的网络安全风险征求意见。在评论中,NOI提出了需要解决的具体问题。
FERC调查的第二个方面目前对大型发电厂网络安全保护的重点是否应该修改。只有被归类为中等或高影响的BES网络系统的发电资源才需要符合所有CIP可靠性标准。
自2008年第一个CIP可靠性标准建立以来,美国的发电资源组合已经从较大的集中式发电资源转向较小的地理分布的发电资源。因此,越来越多的发电资源被归类为低影响的BES网络系统,因此不需要遵守所有CIP可靠性标准。
FERC询问,一个老练的威胁行为者是否会针对地理分布的发电资源发起协同网络攻击,对可靠性构成不可接受的风险。这种协同网络攻击将以“共模故障”的形式出现,其风险可能与大规模燃料供应中断类似,比如对天然气管道的攻击。FERC引用了以下最近的研究,评估了协同网络攻击对地理分布目标的潜在可靠性影响:
- NERC的2019年供应链风险评估.根据通过对行业的数据请求获得的信息,评估得出的结论是,协同网络攻击可能会极大地影响超出本地区域的批量电力系统可靠性,并建议修改供应链可靠性标准,以包括具有远程电子访问连接的低影响BES网络系统。
- NERC的经验教训-防火墙固件漏洞带来的风险.本文档介绍了针对多个远程发电站点的拒绝服务攻击,这些站点的BES网络系统被归类为低影响。这种特殊的攻击利用了供应商防火墙web界面中的一个已知漏洞,允许未经身份验证的攻击者导致设备意外重启。这导致发电场址现场设备之间以及发电场址与控制中心之间出现短暂的通信中断(即少于5分钟)。
- 情报机构的全球威胁评估.美国国家情报总监办公室的这份报告发现,俄罗斯和中国都有能力在美国实施网络攻击,对关键基础设施产生“局部的、暂时的破坏性影响”。
因此,FERC要求对地理分布的目标进行协同网络攻击的潜在风险以及FERC的行动(包括对CIP可靠性标准的潜在修改)是否适合应对此类风险发表意见。同样,具体的问题是由评论者来解决的。
对NOI的意见将于2020年8月24日提交,回复意见将于2020年9月22日提交。在收到意见后,FERC可以召开技术会议,收集更多信息,或者就这一主题发布一项拟议规则。
职员论文
除其他事项外,FERC监管州际商业中的电力传输速率。虽然工作人员文件一般提供了关于大容量电力系统的网络安全挑战的背景讨论,现有的CIP可靠性标准,基础设施安全的重要性,以及委员会和工作人员迄今为止为激励能源基础设施安全所做的努力,但工作人员文件的主要目的是讨论为合格的网络安全投资提供传输速率激励的框架。
传输服务的费率通常是基于提供商的服务成本,包括投资的回报。FERC允许对提高可靠性或减少电网拥塞的输电投资进行一定的费率激励。这些激励措施包括允许在设施建设时将成本包括在费率中,加速折旧,以及更高的股本回报率(ROE)。工作人员文件指出,与传输项目相比,这些遗留激励措施的部署时间短,资本成本相对较低,因此对网络安全投资的好处可能较小。本文还对加速折旧的影响提出了质疑,因为大多数网络安全投资的折旧寿命可能相对较短。
与其依赖传统的激励措施,员工文件建议了一种激励网络安全投资的选择,即允许公用事业公司推迟和摊销合格的成本,这些成本通常被记录为与第三方硬件、软件以及计算和网络服务相关的费用,在较短的时间内。然而,激励方法也需要有一种方法来确定它寻求激励的网络安全投资。工作人员文件还建议,仅对超过CIP可靠性标准的自愿网络安全投资提供激励措施。仅为符合强制性标准而进行的投资将不符合资格。FERC特别提出了两种方法来确定合格的自愿投资:(1)公用事业公司自愿将某些CIP可靠性标准要求应用于不受这些要求约束的输电设施;(2)公用事业公司自愿实施NIST框架的部分内容。
对工作人员论文的评论截止日期为2020年8月17日,回复评论截止日期为2020年9月1日。
[1]大型电力系统是发电资源、输电线路、互连和相关设备,通常在100千伏或更高的电压下运行。
[2]NIST框架(v1.0)于2014年2月发布,随后于2018年4月更新(v1.1)。
[3]CIP可靠性标准要求实体根据对电网的低、中、高影响对其网络系统进行分类。看到cip - 002 - 5.1 - a.这些影响等级决定了CIP可靠性标准中的哪些要求适用。