今年3月,由美国爱达荷州参议员吉姆·里施(Jim Risch)和缅因州参议员安格斯·金(Angus King)领导的两党参议员小组给美国能源部长珍妮佛·格兰霍姆(Jennifer Granholm)写了一封信,向其表达了对能源部网络安全、能源安全和应急响应办公室(CESER)的支持。并携同参议院能源和自然资源委员会主席和高级成员,在信中强调了CESER在“保护国家关键能源基础设施免受网络威胁、物理攻击和其他破坏性事件”方面发挥的重要作用。然而一个多月过去了,美国拜登政府仍然没有提名一位助理秘书来领导CESER。
为了给司法和就业的新助理秘书职位腾出空间,拜登政府正在考虑将CESER管理者的职位从助理秘书级别降级。因此,参议员们在信中切实地表达了对此的担忧。此前,政府问责局办公室(GAO)的一份报告强调了美国能源部(DOE)在确保国家电网和供应链安全方面未完成的工作。紧随这份报告之后,格兰霍姆部长如果降低了该部门网络安全领导层的职级,将会导致一个严重错误。
作为能源部门的部门风险管理机构,美国能源部为了解决发电和输电系统中的漏洞开展了许多重要工作,但正如政府问责局的报告总结的那样,还有更多的工作有待完成。美国能源部的网络安全计划“没有完全解决电网配电系统面临的风险”。作为回应,美国能源部承认了政府问责局的评估,同意其建议,并指出了两个正在进行的CESER研究项目,旨在提高这些系统的网络安全性。而剩下未完成的工作对于确保电网的安全至关重要,主要是将发电厂生产的电力通过高压系统传输到各个家庭和企业。
虽然还有很多工作未落地执行,但这位新能源部长实际上已经通过最有效的网络安全项目之一领导了这个联邦机构。2020年3月网络空间日光浴室委员会的报告着重强调了,其他机构应该考虑直接复制美国能源部的一些网络安全和私营部门拓展项目。可见CESER办公室在这方面的努力值得肯定。这是该办公室具有适当资历(包括参议院确认的助理秘书)、资源、国会支持以及与私营部门、州和地方政府的关系的直接结果。所有这些都是解决国家能源基础设施持续存在的网络风险,制定政策并领导对安全和自然灾害事件的应急响应所必需的条件。
例如,CESER负责协调网络安全风险信息共享计划(CRISP)的成员资格和增长,而CRISP是联邦政府和关键基础设施所有者之间唯一的公私数据共享和分析平台,它促进了能源部门利益相关者之间非机密和机密威胁信息的及时双向共享。实际上,除了美国国土安全部的网络安全和基础设施安全局(CISA)(该机构广泛负责所有联邦网络安全工作),没有哪个联邦机构的效能和管理范围能与CESER相提并论。而正因为有了CESER,美国能源部现已成为联邦网络安全部门风险管理机构的相对黄金标准。
此外,CESER还管理弹性工业控制系统(CyTRICS)的网络测试程序,这是少数几个确保构成关键基础设施物理系统的高优先级硬件和软件组件安全的测试计划之一。
CyTRICS测试可帮助行业合作伙伴提高安全性、设计和制造能力。北美电力可靠性公司发布的二级警报中,有25%的受访者表示,他们或他们的第三方服务提供商已经下载了与太阳风(SolarWinds)事件相关的威胁软件,因此现在更不应该停止提高日益数字化的能源系统的弹性。
尽管拜登总统承诺将优先考虑网络安全问题,但到目前为止,他仍未重视CESER助理秘书的职位空缺。在政府对即将上任的官员进行审查的同时,社会上的危险分子们并没有安分守己。威胁行为者们——包括民族国家、犯罪集团、黑客活动分子和内部人士——有能力并且愿意进行可能使电网面临风险的网络攻击。世界各地便有几个明确的电网黑客案例。如位于马萨诸塞州的电力公司 (RMLD)在2020年2月报告中表示,他们遭到了勒索软件攻击。而类似的这些威胁只会持续增长。
正如参议员们在信中所写的,“电网的可靠性和弹性对美国的经济和国家安全至关重要。”
除非美国能源部继续优先考虑电网的网络安全风险,否则迄今为止制定的计划将毫无用处。需要引起注意的是,一个助理秘书级的领导,一个有适当资源的办公室,一直是,并且将继续是成功的关键。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
