27 de fevereiro de 2017
As Corporação Norte-Americana de Confiabilidade Elétrica (NERC) lançamentos compartilhando insights e dicas para ajudar profissionais do setor de serviços públicos a identificar, prevenir ou pelo menos mitigar ameaças ao Sistema de Energia em Massa (BPS).
Categorias de risco
NERC, a organização de confiabilidade elétrica (ERO) que cobre a América do Norte, classifica o risco em três categorias:
- Alto risco: Vulnerabilidades de segurança cibernética, mudança na combinação de recursos, planejamento de BPS e adequação de recursos.
- Risco moderado: Perda de consciência situacional, vulnerabilidades de segurança física e eventos naturais extremos.
- Baixo risco: Gestão e manutenção de ativos, desempenho humano e força de trabalho qualificada.
Embora eventos climáticos continuem sendo as ameaças mais comuns, não é surpresa que a NERC coloque as questões de segurança cibernética no topo da pirâmide de ameaças. As ameaças cibernéticas estão se tornando mais sofisticadas e em número crescente.
Ameaças à segurança cibernética podem atingir com força
A exploração de vulnerabilidades de segurança cibernética pode resultar em perda de controle ou danos ao BPS, comunicações de voz, dados, sistemas de monitoramento, proteção e controle, entre outros, deixando as pessoas no escuro e no frio por longos períodos de tempo.
NERC pede ajuda da indústria
A NERC apela à indústria para que trabalhe em conjunto com ela na adoção de uma "abordagem ágil e multifacetada" para lidar com a ameaça à segurança cibernética em constante evolução. A organização oferece vários exemplos. Por exemplo, pretende ver uma maior participação e produtos em centros de análise e compartilhamento de informações (E-ISAC), revisões por pares e visitas de assistência para avançar para o que chama de modelo de "melhores práticas". Pretende também ver recomendações para lidar com ameaças novas e menos bem definidas.
Importância do Planejamento e Gestão de Riscos do BPS
O planejamento do BPS também é fundamental para gestão de riscoA NERC afirma que a ERO Enterprise deve se coordenar com a indústria, fabricantes e desenvolvedores de recursos assíncronos para desenvolver e disponibilizar modelos dinâmicos precisos. A ERO também deve trabalhar com a indústria para:
- Identifique o tipo e a frequência das informações necessárias dos recursos energéticos distribuídos.
- Criar diretrizes e melhores práticas para desenvolver e manter modelos precisos de sistemas, dinâmicos e eletromagnéticos que incluam transmissão, recursos, carga e dispositivos controláveis para uso em planejamento operacional e de longo prazo.
- Continue avaliando o desempenho do ERS para desenvolver diretrizes necessárias para determinar se os Padrões de Confiabilidade são necessários.
- A NERC também deve continuar a colaborar com os Coordenadores de Planejamento para expandir o desenvolvimento de modelos de interconexão abrangentes, compatíveis com os despachos esperados. Essa colaboração apoiará a capacidade de conduzir avaliações de planejamento de longo prazo mais eficazes.
Como identificar armadilhas de recursos
O relatório também enfatizou a importância da adequação de recursos e do desempenho. Aqui, ele afirma que a Empresa ERO deve:
- Continue aprimorando a modelagem e os métodos probabilísticos com a indústria para avaliar a adequação dos recursos e incluir impactos do ERS, aposentadorias de unidades e variabilidade de carga e recursos durante diferentes períodos de tempo, incluindo meses intermediários.
- Avalie e desenvolva recomendações de mitigação para abordar pontos únicos de interrupção, como contingências de combustível, que resultarão em grandes interrupções de recursos.
- Desenvolver novas medidas de confiabilidade além das margens de reserva, incluindo a suficiência do ERS.
- Continue a avaliar as vulnerabilidades da disponibilidade de combustível como parte da avaliação da adequação de recursos e da capacidade operacional.
Análise adicional necessária
O relatório enfatiza que o setor de serviços públicos também precisa fazer a sua parte. Ele deve avaliar oportunidades para desenvolver modelos de previsão de carga de curto prazo mais precisos.
O setor também deve analisar os requisitos de dados necessários para garantir que haja detalhes suficientes sobre a capacidade e o desempenho do BPS, conforme impactado pelos recursos energéticos distribuídos. A indústria também deve coletar dados que vão além das simples previsões de demanda e expandir para identificar a capacidade dos recursos, a localização e a capacidade do ERS.
Soluções poderosas de gerenciamento de conformidade com a NERC são necessárias
Com o nível e a intensidade dessas ameaças mais sofisticadas, os responsáveis pela conformidade das concessionárias de serviços públicos precisam adotar um sistema de gerenciamento de conformidade NERC poderoso e automatizado. A AssurX trabalhou em estreita colaboração com uma grande concessionária de serviços públicos na implementação abrangente do Sistema de Gestão Empresarial de Energia e Serviços Públicos da AssurX.
A implementação criou fluxos de trabalho altamente automatizados e integrados, projetados para atender aos novos regulamentos de conformidade com o NERC CIP. Especificamente, eles atenderam ao NERC Cyber CIP-002-5.1 e CIP-007-6. Os fluxos de trabalho do AssurX abordam gerenciamento de ativos, gerenciamento de patches de software/firmware, gerenciamento de mudanças e controles.
As soluções fornecem um registro de auditoria completo e em tempo real de todas as alterações e modificações feitas em um ativo durante sua vida útil. Isso inclui o histórico de patches de software/firmware instalados. Os fluxos de trabalho do AssurX incluem tarefas de revisão recorrentes baseadas em calendário, lembretes, escalonamentos, notificações por e-mail e assinaturas eletrônicas de gerentes de conformidade e operações.
