August 2, 2018
Die Federal Energy Regulatory Commission (FERC) erließ am 848. Juli die Verordnung Nr. 19, mit der die North American Electric Reliability Corp. (NERC) angewiesen wird, die CIP-Zuverlässigkeitsstandards um die obligatorische Meldung von Cybersicherheitsvorfällen zu erweitern, die dem elektrischen Hauptnetz (BES) schaden könnten.
Die Anordnung unterstützt eine proaktivere Betrachtung der Cybersicherheit und ermöglicht eine effektivere Bewertung der BES-Risiken. Dies entspricht den branchenüblichen Best Practices zur Einführung von CIP-Modellen für risikobasierte, präventive Maßnahmen zum Schutz des BES.
Die Bedrohung ist real
Russische Cyber-Hacker behaupteten gerade, sie seien in der Lage gewesen, dringen in Kontrollräume von US-amerikanischen Versorgungsunternehmen ein im letzten Jahr und hätte zu großflächigen Stromausfällen führen können. Während die Untersuchung noch andauert, gibt es wenig Zweifel unter Branchenexperten dass Cyberangriffe jederzeit das Potenzial haben, die Stromflüsse zu beeinträchtigen.
Um dieses drohende Risiko hervorzuheben, weist Order 848 NERC an, die CIP-Zuverlässigkeitsstandards zu ändern, um die Meldung von „Cybersicherheitsvorfällen, einschließlich Vorfällen, die spätere Versuche erleichtern könnten, den zuverlässigen Betrieb des BES [Großstromsystems] zu beeinträchtigen“, vorzuschreiben.
Der Anstoß für den Orden
Ein Mangel an Cyber-bezogenen Vorfällen, die gemäß dem aktuellen Zuverlässigkeitsstandard des NERC gemeldet wurden CIP-008-5 Die FERC hat sich mit der Meldung und Reaktionsplanung von Cybersicherheitsvorfällen befasst, und das aus gutem Grund. Die Meldung einer Beeinträchtigung oder Störung einer oder mehrerer Zuverlässigkeitsaufgaben nach deren Auftreten kann auf mangelnde Wachsamkeit im Rahmen eines ganzheitlichen Cyber-Management-Frameworks hinweisen.
Registrierte Unternehmen sind künftig verpflichtet, jeden Versuch zu melden, ihren elektronischen Sicherheitsperimeter (ESP) oder das zugehörige elektronische Zugangskontroll- oder Überwachungssystem (EACMS) zu kompromittieren. Jedes Gerät innerhalb des Perimeters, das als kritisches Cyber-Asset eingestuft wird, fällt unter die Schwelle.
Auswirkungen auf die Risiko- und Bedrohungsklassifizierung
Der neue Standard soll das Bewusstsein für bestehende und zukünftige Cybersicherheitsbedrohungen und potenzielle Schwachstellen im BES schärfen. Darüber hinaus wird erwartet, dass das NERC die Fristen für die Einreichung von Berichten über Cybersicherheitsvorfälle verkürzt, „basierend auf einer Risikobewertung und Priorisierung der Vorfallmeldungen“.
Die Meldung von Bedrohungen an das BES vor einem bestätigten Angriff ermöglicht es Aufsichtsbehörden (E-ISAC, ICS-CERT), Trends zu erkennen, zu verfolgen und auf potenzielle Bedrohungen über die Ebene einzelner Unternehmen hinaus zu reagieren. Der Ansatz zur Untersuchung und Behebung erheblicher Risiken zeigt eine ganzheitliche, proaktive Sicht auf die Cybersicherheit und kontextualisiert die Risikoexposition effektiver.
Vorsorge und Prävention
So wie NERC die CIP-Richtlinien zur Kontrolle des Fernzugriffs auf kritische Systeme in der gesamten Lieferkette aktualisiert hat, gilt das gleiche Prinzip der Vorbereitung und Prävention auch für den kommenden Standard zur Cyber-Vigilanz.
Cyber-Risikomanagement ist ein kontinuierlicher Anpassungsprozess. Kein Netzwerk ist undurchdringlich. Ziel ist es jedoch, Bedrohungen optimal zu erkennen, Risiken zu analysieren und mit einem Prozess zu reagieren, der das Risiko minimiert, die kontinuierliche Compliance unterstützt und Nachweise für die Auditbereitschaft liefert.

BES Cyber System Assessment und Classification sind Komponenten eines geschlossenen NERC-Compliance-Systems mit mehreren integrierten Prozessen. Klicken Sie auf das Bild, um es zu vergrößern.
Ein moderner NERC CIP-Compliance-Ansatz
Unternehmen, die bereits über elektronische Cybersicherheits-Compliance-Systeme verfügen, sind am besten auf die Einhaltung der Order 848 und des NERC CIP vorbereitet. Zu den gemeinsamen Merkmalen dieser Unternehmen gehören:
- Leistungsstarke Konfigurations- und Integrationsfunktionen
- Automatisierte Workflows basierend auf den aktuellen NERC CIP-Richtlinien
- Eine einzige Plattform als zentrale Informationsquelle für automatisiertes Reporting, Auditing und Einhaltung gesetzlicher Vorschriften
- Ein Dokumenten- und Datenmanagementprozess, der die Überwachung und Durchsetzung gemäß CIP nachweist
- Ein kollaborativer Änderungskontrollprozess, der Methoden und Berechtigungen dokumentiert
- Eine ganzheitliche Sicht und vollständige Kontrolle über alle Anlagen und Zugriffe, einschließlich Dritter, die über Konnektivität und Zugriff auf Großstromnetze verfügen
Fazit
CIP-Konformität hat sich aufgrund der schnellen und sich ändernden Compliance-Anforderungen als Herausforderung erwiesen. Die Bedrohung für die Branche wird jedoch weiterhin strengere Standards zur Erkennung und Beseitigung möglichst vieler Schwachstellen erfordern. NERC bietet branchenweit die umfassendsten Richtlinien, jedoch ohne integriertes NERC CIP-Compliance-System Wenn die geltenden Vorschriften eingehalten werden, werden registrierte Unternehmen weiterhin hinterherhinken und mit Strafen und, schlimmer noch, einer höheren Wahrscheinlichkeit von Cyberangriffen rechnen müssen.
Über AssurX, Inc.
Mit jahrzehntelanger Erfahrung in unserer Software für Qualitätsmanagement und Einhaltung gesetzlicher Vorschriften unterstützt die AssurX Qualitätsmanagement-Plattform Unternehmen Aufrechterhaltung der Qualität und Konformität Standards, optimieren Arbeitsabläufe und verwalten jedes Unternehmen besser. Unsere konfigurierbare Software Das tiefe Verständnis der Benutzerbedürfnisse führt zu einem einzigartigen System, das sich problemlos an die Entwicklung Ihres Unternehmens anpasst. AssurX ist der ideale Partner für regulierte Unternehmen, die eine bessere operative Kontrolle und Effizienz bei gleichzeitiger Einhaltung der Compliance anstreben. Weitere Informationen finden Sie unter www.assurx.com.



