BLOG HOME

  • Stromleitungen mit wunderschönen rosa Himmeln, die die Energie- und Versorgungsindustrie hervorheben

September 20, 2023

Nach Angaben der US-Organisation North American Electric Reliability Corporation (NERC)Laut Stand 2022 gehörten sieben CIP-Standards zu den zehn am häufigsten verletzten Standards für schwerwiegende und mäßige Risiken.

Die drei Standards mit den meisten Verstößen waren CIP-007, CIP-010 und CIP-004 mit insgesamt 200 Verstößen. Jeder dieser Standards bietet Tausende von Möglichkeiten, ein Compliance-relevantes Ereignis oder Dokument zu übersehen.

Darüber hinaus ergeben sich für jede einzelne Anforderung Hunderte ähnlicher Möglichkeiten. Dies gilt insbesondere, wenn Versorgungsunternehmen tabellenbasierte Tracking-Prozesse verwenden. In diesem Artikel beschreiben wir einige der häufigsten Herausforderungen im Zusammenhang mit diesen häufig verletzten CIP-Standards. Darüber hinaus erörtern wir, wie Automatisierung Versorgungsunternehmen helfen kann, Risiken zu reduzieren.

Lesen Sie kostenlos Fallstudie um zu erfahren, wie ein Versorgungsunternehmen NERC-Compliance-Prozesse automatisiert

CIP-007: Cybersicherheit – Systemsicherheitsmanagement

Die Nichteinhaltung von CIP-007 machte den Löwenanteil der NERC-Anmeldungen mit schwerwiegendem und mäßigem Risiko aus – insgesamt 108 – im Jahr 2022. Dieser Standard erfordert, dass Sie verschiedene Aspekte aller Ihrer betroffenen Assets inventarisieren, kontrollieren, überwachen und auf dem neuesten Stand halten. Dazu gehören Ports und Dienste, Sicherheitspatches, Schadcode-Erkennung, Sicherheitsereignisse und Systemzugriff. Wenn man bedenkt, dass Sie möglicherweise Dutzende, Hunderte oder sogar Tausende dieser Elemente haben für jedes VermögenDie Datenmenge, die erfasst und verarbeitet werden muss, ist enorm. Ein so hohes Datenvolumen und die manuelle Verarbeitung dieser Daten erhöhen das Risiko von Compliance-Verstößen.

Eine Reihe von Herausforderungen im Zusammenhang mit der manuellen Nachverfolgung tragen zu der hohen Zahl gemeldeter Verstöße gegen diesen Standard bei, darunter:

  • Fehlende Eskalationen und Erinnerungen erhöhen das Risiko, Compliance-Termine zu verpassen, beispielsweise das 35-tägige Zeitfenster für die Patch-Evaluierung oder das 15-tägige Zeitfenster für die Überprüfung der Sicherheitsereignisprotokolle.
  • Dezentrale Validierungs- und Implementierungsnachweise erschweren die Nachverfolgung und verdoppeln oder verdreifachen den Aufwand für jährliche Zertifizierungen oder Software Prüfung vorbereiten.
  • Manuelle Kontrollen zur Patch-Evaluierung, -Genehmigung, -Installation und -Minderung sind fehleranfällig und schwer nachzuweisen, insbesondere angesichts der großen Anzahl von Patches, die die Versorgungsunternehmen dokumentieren müssen.

Ein automatisiertes NERC-Compliance-Managementsystem vereinfacht diese Prozesse durch die Möglichkeit:

  • Importieren Sie tägliche Baselines in die Plattform und katalogisieren Sie sie automatisch über die API-Integration mit einem Baseline-Tool, um Zeit bei der Beweissammlung zu sparen
  • Nutzen Sie zeitgesteuerte Workflows, um KMU an die Evaluierung von Sicherheitspatches zu erinnern. Automatisierte Eskalationen bei nahenden Fristen dienen als Ausfallsicherung für das System.
  • Stellen Sie Patch-bezogene Nachweise bereit, wie z. B. Patch-Evaluierungsdatum, Genehmigungen, Schadensbegrenzungspläne und digitale Signaturen

Diese Funktionen eliminieren viele menschliche Fehler, die zu NERC-Compliance-Verstößen führen. Sie ermöglichen es Versorgungsunternehmen, Prüfern präzise und leicht zugängliche Nachweise vorzulegen. Dies spart zudem erheblich Zeit. KMU können sich so auf wichtigere Aufgaben konzentrieren. Allein die Automatisierung des Patch-Managements spart beispielsweise bis zu zwei Stunden pro Monat und Anlage.

CIP-010: Cybersicherheit – Konfigurationsänderungsmanagement und Schwachstellenbewertungen

55 der schwerwiegenden und mittelschweren NERC-Verstöße im Jahr 2022 entfielen auf CIP-010. Dieser Standard konzentriert sich auf die Verhinderung unbefugter Änderungen an der Umgebung, unter anderem durch transiente Cyber-Assets (TCAs) und Wechseldatenträger. Auch hier lässt sich eine große Anzahl von Verstößen auf manuelle Tracking-Prozesse zurückführen. Diese Prozesse erschweren die Einhaltung der Vorschriften auf verschiedene Weise:

  • Die auf Tabellenkalkulationen basierende Nachverfolgung bietet keinen Mechanismus, um Teams vor nicht autorisierten Änderungen an der Umgebung zu warnen.
  • Dezentrale Beweise rund um Change Management erschwert den Änderungsprozess und schränkt die Wirksamkeit interner Kontrollen ein.
  • Autorisierungen und Eskalationen lassen sich manuell nur schwer nachverfolgen und können dazu führen, dass Compliance-Termine verpasst werden.
  • Die Dokumentation der Identität und Integrität aller Software, eine neue Anforderung ab 2020, kann leicht übersehen werden.

Die Compliance-Management-Software von NERC begegnet diesen Herausforderungen und bietet einen integrierten Änderungsmanagementprozess mit:

  • Automatische Eskalationen, Beweissammlung und Kennzeichnung für CIP-005- und CIP-007-Kontrollen
  • Die Möglichkeit, das Testen der Softwareidentität, die Integritätsvalidierung und die Beweissammlung sowohl in Test- als auch in Produktionsumgebungen zu optimieren
  • Zeitgesteuerte Schwachstellenanalysen, Workflows und automatisierte Beweissammlung, um sicherzustellen, dass sie pünktlich durchgeführt werden
  • Automatisierte Workflows zur Nachverfolgung aller Daten, aller Dokumente und aller erforderlichen Genehmigungen im Asset-Änderungsprozess

Dieser letzte Punkt ist besonders wichtig, da viele Versorgungsunternehmen Schwierigkeiten haben, alle Konfigurationsänderungen in ihren verteilten, vielfältigen Umgebungen im Blick zu behalten.

CIP-004: Cybersicherheit – Personal & Training

Im Jahr 2022 meldeten Unternehmen 37 Fälle schwerwiegender und mittelschwerer Verstöße gegen die CIP-004-Richtlinie. Viele Versorgungsunternehmen haben Schwierigkeiten sicherzustellen, dass zahlreiche Voraussetzungen erfüllt sind, bevor sie Zugang zum System gewähren, und auch die zeitlichen Anforderungen für den Entzug des Zugangs einzuhalten.

Bevor Mitarbeitern Zugriff gewährt wird, werden häufig die Sicherstellung der Durchführung von Hintergrundüberprüfungen, die Risikobewertung des Personals und Schulungen zum Thema Cybersicherheit versäumt.

CIP-004 stellt zudem strenge zeitliche Anforderungen an den Widerruf von Zugriffen. Dazu gehört die Sperrung bestimmter Zugriffsarten innerhalb von 24 Stunden nach Beendigung. Eine große Herausforderung ist die dezentralisierte manuelle Nachverfolgung. Dies erschwert die Erfassung von Nachweisen und Genehmigungen bei der Gewährung oder Sperrung von Zugriffen. Zudem können Compliance-Fristen für CIP-004 R.5 aufgrund fehlender Eskalationsmaßnahmen versäumt werden.

Die Automatisierung des Zugriffsverwaltungsprozesses löst diese Probleme, indem sie den Zugriff verhindert, wenn die Voraussetzungen nicht erfüllt sind. Anders ausgedrückt: Das System lässt den Workflow erst dann weiterlaufen, wenn der Nachweis für die Erfüllung der Anforderungen vorliegt. KMU erhalten Erinnerungen an Compliance-Termine und -Aktivitäten. Zusätzlich werden Benachrichtigungen an das Management weitergeleitet, wenn diese Aktivitäten nicht abgeschlossen sind. Die Integration mit Drittanbietersoftware automatisiert die Erfassung und Kennzeichnung von Nachweisen im Zusammenhang mit der Gewährung und dem Entzug von Zugriffen.

Insgesamt reduzieren diese Funktionen den Zeitaufwand für die Beweiserhebung erheblich. Darüber hinaus bieten sie ein zentrales Aufzeichnungssystem für alle Compliance-relevanten Nachweise, Workflows und Tickets für Zugriffsänderungen.

Fazit

Wiederholte Compliance-Aktivitäten mit tabellenbasierter Nachverfolgung bergen die Gefahr menschlicher Fehler. Angesichts der vielen Möglichkeiten, Compliance-Aufgaben zu übersehen, benötigen Versorgungsunternehmen ein besseres System, um die NERC-Verpflichtungen einzuhalten.

Ein automatisiertes NERC-Compliance-Management-System standardisiert die Beweiserhebung, um Compliance-Lücken zu minimieren. Eskalationen und regelmäßige Erinnerungen bieten zusätzliche Sicherheit, um sicherzustellen, dass Unternehmen die Anforderungen erfüllen. Dies bedeutet letztendlich auch, dass KMU mehr Zeit für die Überwachung interner Kontrollen und die Überprüfung der Einhaltung der Sicherheitsziele durch die Nachweise aufwenden können – das A und O der Compliance.

Laden Sie ein kostenloses E-Book herunter auf Auswahl und Implementierung automatisierter NERC-Compliance-Management-Software

Über den Autor

Kathryn Wagner ist Vice President für Branchenlösungen, Energie & Versorgung bei AssurX. Kathryn verfügt über mehr als 25 Jahre Erfahrung in der Integration und Compliance von Fertigungssystemen. Sie ist verantwortlich für die Entwicklung und Weiterentwicklung von Produktangeboten zur NERC-Konformität. Der Fokus dieser Systeme liegt auf Zuverlässigkeit und Belastbarkeit.