美国监管机构正在试图解决日常电子产品(例如笔记本电脑和闪存驱动器)对电网造成的网络安全风险问题。
上周美国联邦能源管理委员会发布了一项新规定,要求公用事业公司对“低影响力”或者被认为不那么重要的便携式设备部署安全控制。该委员会还要求修订电源可靠性标准,以降低这些设备中恶意代码带来的风险。
在此之前,美国国土安全部警告称俄罗斯政府黑客已经锁定美国能源公司,并且美国国会也在准备立法确保电网安全。
观察家们表示,联邦能源委员进一步加强电网安全控制可能会影响该部门大部分网络安全做法。
在联邦能源管理委员会代表公用事业部门的律师丹尼尔·斯基思(Daniel Skees)称,新的规定意味着公用事业企业将经历“重大变化”,因为他们将需要对不太关键的变电站和发电机部署更多的网络安全措施。
摩根·刘易斯律师事务所合伙人斯基思表示:“技术人员将需要前往美国各地的远程设施检查安全控制,从逻辑上将,这将比过去电网安全工作复杂得多。”
联邦能源委员会监管的北美Electric Reliability电力公司表示,新政策“代表网络安全标准的下一阶段”,它将推动该行业的基准网络安全。
工业系统网络安全工程师迈克·托克尔(Michael Toecker)称,新规定加强了对笔记本电脑和USB驱动器等设备的保护,而其实这些设备在企业和工业环境早已部署严格安全控制。
托克尔表示,他对新规定的唯一担忧是,在2020年1月最后期限到来之前,公用事业公司可能不会快速更新其安全措施。他指出:“电力资产所有者的目标应该是尽快保护其系统。”
自2009年Stuxnet蠕虫病毒利用便携式媒介成功入侵伊朗铀浓缩设施的“空气间隙”系统以来,USB驱动器的恐惧一直笼罩着能源行业。虽然这是资源充足和有针对性的攻击,并且,联邦能源管制委员会的新规定不适用于核设施,但Stuxnet的故事仍然让能源行业感到担忧。
此外,黑客在2015年12月袭击乌克兰电网,导致22.5万人遭遇停电,一年后,另一起攻击利用恶意软件导致乌克兰变电这断电,这些事件都引起美国公用事业部门的密切关注。
自乌克兰袭击事件发生以来,电网安全问题也越来越受到美国国会的关注,立法者希望加强所有公用事业基础设施的安全性。为此,众议院能源与商务小组委员会上周就此提出不少于四项法案,其中一项将设立一个自愿性能源计划,用于测试支撑电网的工业控制系统(ICS)产品。
美国国土安全部上个月表示,这些系统一直是俄罗斯政府黑客的攻击目标,他们目标还包括从核电到关键制造等多个行业。
斯基思表示,他认为联邦能源管理委员会不断规范低影响力电力资产的网络安全是因为,该委员会已经扩大网络安全要求涵盖的设施范围。
斯基思称:“在这些网络中的所有人都需要部署强大的网络安全措施,否则,其他国家竞争对手发现薄弱环节只是时间问题。”
本文由安全内参翻译自CyberScoop
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。