Thought Leadership
Angesichts der weltweit anhaltenden Cyberangriffe steht die Sicherheit der Stromnetze heute ganz oben auf der Agenda von Regierungsbehörden und Verantwortlichen im Bereich der Cybersicherheit.
Der US-Kongress arbeitet bereits an neuen und strengeren Gesetzen zur Cybersicherheit, und die EU verschärft ihre eigenen Abwehrmaßnahmen gegen Cyberbedrohungen. Otorio, Anbieter von Sicherheitstechnologie für kritische Infrastrukturen und Produktionsumgebungen, erklärt die Bedeutung von Standards für wirksame OT-Security.
Von der Dezentralisierung des Netzes bis hin zu lokalisierten Mikronetzen, die schnell wechselnde Lasten versorgen, gibt es einiges zu tun. Die Aufrechterhaltung der Produktion und Infrastruktur bei gleichzeitiger Einhaltung der sich entwickelnden Cybersicherheitsvorschriften ist bereits eine große Herausforderung für die Versorgungsunternehmen. Jetzt bemühen sich Energie- und Versorgungsunternehmen darum, sicherzustellen, dass ihre OT-Netzwerke das Risiko potenzieller staatlich geförderter digitaler und Cyberbedrohungen verringern. Diese erhöhte Aufmerksamkeit wirft ein neues Licht auf NERC CIP – das Regelwerk der North American Electric Reliability Corporation zum Schutz kritischer Infrastrukturen (KRITIS).
Es ist nach Meinung von Otorio Zeit für einen genaueren Blick auf NERC CIP, um zu erörtern, warum das Rahmenwerk im heutigen turbulenten Cyberklima besonders relevant ist, und zu zeigen, wie Unternehmen ihre Compliance mit dem Rahmenwerk vereinfachen können.
Was ist NERC CIP?
NERC CIP wurde erstmals 2007 eingeführt und umfasst eine bahnbrechende Reihe von Anforderungen, die darauf abzielen, das nordamerikanische Stromnetz durch eine strenge Regulierung des Betriebs des Bulk Electric System (BES) zu sichern. Das BES ist der Teil des Stromnetzes, der die Hauptlast trägt – Stromerzeugungsanlagen, Übertragungsleitungen, Verbindungsleitungen und Geräte, die mit Spannungen von 100 kV oder mehr arbeiten.
NERC CIP wurde entwickelt, um einen umfassenden Rechtsrahmen für den Schutz vor Cyberangriffen auf BES-Versorgungsunternehmen zu schaffen. Die Anforderungen des NERC CIP beziehen sich auf die Sicherheit elektronischer Perimeter und den Schutz kritischer Cyber-Assets sowie auf Personal und Schulungen, Sicherheitsmanagement und Disaster-Recovery-Planung.
Anspruchsvolle Compliance
NERC CIP hat Zähne. Die Strafen für die Nichteinhaltung der Vorschriften sind unglaublich hoch – buchstäblich bis zu einer Million US-Dollar pro Verstoß und Tag. Im Januar 2019 verhängte NERC eine Geldstrafe in Höhe von 10 Millionen Dollar gegen ein nicht näher benanntes Unternehmen wegen 127 separater Verstöße gegen NERC CIP. Zusätzlich zu den Bußgeldern sieht das Regelwerk auch Sanktionen und andere harte regulatorische Maßnahmen gegen BES-Anbieter vor. Dies bedeutet, dass Compliance ein wesentlicher Bestandteil des BES-Betriebs ist.
Die Einhaltung des NERC CIP ist jedoch alles andere als einfach, denn das Rahmenwerk ist veraltet. Es wurde Jahrzehnte vor der Technologie geschaffen, die die meisten der heutigen Cyberbedrohungen verursacht. Vor allem die zunehmende IT/OT-Konvergenz und die massive Ausbreitung vernetzter Geräte machen es den Versorgungsunternehmen schwer, sicher zu sein, welche Anlagen im Rahmen der Vorschriften als Teil des BES gelten. Dies macht die Einhaltung des NERC CIP äußerst komplex und scheinbar subjektiv. Außerdem erhöht sich das Haftungsrisiko für BES-Akteure auf dem ganzen Kontinent drastisch.
Vereinfachung der NERC CIP-Compliance
Der Schutz der heutigen komplexen, herstellerübergreifenden, generationenübergreifenden IT/IoT/OT-BES-Umgebungen erfordert ein Umdenken bei der Herangehensweise der BES-Verantwortlichen an die Cybersicherheit. Die NERC CIP-Compliance ist nicht unbedingt eine Garantie dafür, dass ein wirksames Sicherheitskonzept und -verhalten vorhanden ist.
Ein besserer Ansatz besteht darin, die Compliance von der Sicherheit abhängig zu machen und nicht zu hoffen, dass die Sicherheit von der Compliance abhängt. Das bedeutet, dass BES-Verantwortliche zunächst einen risikoinformierten Ansatz zur Minderung von Cyberrisiken verfolgen müssen. Sie müssen sich auf den Aufbau eines Sicherheitsprogramms konzentrieren, das sowohl die kontextbezogenen Risiken als auch die Lücken berücksichtigt, die die Vorschriften nicht abdecken. Um dies zu erreichen, gilt es in einem ersten Schritt Anlagen zu identifizieren und Risiken aufzudecken, ohne die Betriebskontinuität zu beeinträchtigen.
Sobald die gefährdeten Assets identifiziert sind, besteht der nächste Schritt darin, die Sicherheitsteams in die Lage zu versetzen, genau zu wissen, was sie im Falle eines Verstoßes zu tun haben. Dies erfordert die Erstellung von automatisierten Abhilfemaßnahmen – einfache, schrittweise Abhilfemaßnahmen, die den operativen Teams helfen, Bedrohungen effizient zu bewältigen und dabei die vorhandenen Sicherheitskontrollen zu nutzen.
Schließlich müssen Abschwächungs- und Abhilfemaßnahmen durch automatisierte Compliance- und Sicherheitsberichte ergänzt werden, die leitenden Mitarbeitern und technischen Kunden sowie Aufsichtsbehörden wie NERC CIP und anderen Prüfern vorgelegt werden können. Diese Berichte müssen das Risiko nach Anlagen bewerten, Compliance- und Sicherheitsbewertungen zuweisen und Empfehlungen für kontinuierliche Verbesserungen geben.
Wie kann man dies technologisch unterstützen?
OTORIO unterstützt BES-Akteure bei der Einhaltung von NERC CIP durch schnelle und automatisierte Compliance-Bewertungen sowie mittels laufender Überwachung der kontinuierlichen NERC CIP-Compliance, insbesondere bei der Einführung neuer Geräte in BES-Netzwerken.
www.otorio.com
