PÁGINA INICIAL DO BLOG

  • Closeup de painéis solares com grama verde e céu nublado

2 de novembro de 2023

A gestão de riscos da cadeia de suprimentos é de suma importância para a segurança cibernética das concessionárias de serviços públicos. Isso porque qualquer interrupção na cadeia de suprimentos pode ter consequências graves para esses provedores de infraestrutura crítica, o que se tornou cada vez mais evidente nos últimos anos.

Para lidar com esse risco, a Comissão Federal de Regulamentação de Energia (FERC) exige conformidade com os requisitos fornecidos pela North American Electric Reliability Corporation (NERC) CIP-013: Segurança cibernética – Gerenciamento de riscos da cadeia de suprimentos para serviços públicos.

Aqui, examinamos por que esse padrão é tão importante, seus requisitos e evidências, e o que as concessionárias de serviços públicos precisam saber sobre seus planos de gerenciamento de riscos de segurança cibernética na cadeia de suprimentos.

Baixe um e-book gratuito em Seleção e implementação de software automatizado de gerenciamento de conformidade NERC

A importância da gestão de riscos da cadeia de suprimentos de segurança cibernética para serviços públicos

Os ataques cibernéticos estão se tornando mais sofisticados, com invasores frequentemente mirando as cadeias de suprimentos como forma de se infiltrar nos sistemas de serviços públicos. Nesse contexto, aprimorar os controles de segurança cibernética em toda a cadeia de suprimentos ajuda as concessionárias a:

  • Proteja a infraestrutura críticaViolações de segurança cibernética podem resultar em interrupções generalizadas, representando ameaças significativas à segurança pública. Um exemplo disso é o relatório de 2015 Ataque cibernético à rede elétrica da Ucrânia por meio de atualizações de software infectadas por malware que deixaram cerca de 225,000 clientes sem eletricidade.
  • Impedir o acesso não autorizado: Vulnerabilidades podem expor componentes, hardware e software a cibercriminosos, como no ataque cibernético à SolarWinds em 2020. Este evento — talvez o maior do gênero — afetou mais de 30,000 organizações. Nele, hackers instalaram código malicioso em um patch de software de terceiros para acessar as contas das vítimas e evitar a detecção por antivírus.
  • Mitigar ameaças internas: Fornecedores terceirizados que realizam manutenção e atualizações de software podem introduzir ameaças internas se não estiverem sujeitos a padrões de segurança rigorosos.
  • Garanta a conformidade regulatória: O não cumprimento da norma NERC CIP-013 pode resultar em multas e penalidades significativas para as concessionárias de serviços públicos. A NERC pode aplicar penalidades de até US$ 1 milhão por dia a entidades registradas que não estejam em conformidade com a norma.

Requisitos CIP-013

O CIP-013 exige que as entidades responsáveis ​​desenvolvam planos de gerenciamento de riscos de segurança cibernética da cadeia de suprimentos que incluam processos de aquisição para identificar e avaliar riscos de segurança cibernética de produtos ou serviços decorrentes de:

  • Aquisição e instalação de novos equipamentos e softwares de fornecedores
  • Transição de um fornecedor para outro

Além disso, os processos de aquisição devem abordar vários itens importantes:

  • Requisitos de notificação do fornecedor para incidentes como violações identificadas pelo fornecedor ou lacunas de segurança que representam risco de segurança cibernética
  • Como você responderá a esses incidentes depois que o fornecedor o notificar
  • Requisitos para que os fornecedores notifiquem você quando o acesso remoto ou no local deve ser revogado dos representantes do fornecedor, como quando um funcionário do fornecedor é demitido
  • Divulgação de vulnerabilidades conhecidas em produtos ou serviços pelo fornecedor
  • Verificação de todos os patches de software fornecidos pelo fornecedor para integridade e autenticidade do software
  • Como você coordenará os controles para acesso remoto interativo iniciado pelo fornecedor e acesso remoto de sistema para sistema

É importante observar que o CIP-013 abrange especificamente novos contratos e compras. Ou seja, as concessionárias não precisam alterar contratos existentes nem realizar análises em softwares existentes. No entanto, ao adquirir um novo software, você deve seguir os procedimentos estabelecidos no seu plano de gerenciamento de riscos de segurança cibernética da cadeia de suprimentos.

Além disso, vale ressaltar que a norma não abrange os termos e condições reais dos contratos de aquisição. Também não impõe um nível específico de desempenho e adesão dos fornecedores aos contratos. Em vez disso, as concessionárias de serviços públicos devem seguir seus processos de aquisição estabelecidos para lidar com os riscos de segurança cibernética na cadeia de suprimentos à medida que os eventos ocorrem.

Evidência CIP-013

Para demonstrar a conformidade com o CIP-013, você precisará de planos de gestão de riscos cibernéticos da cadeia de suprimentos documentados, bem como da documentação da implementação. Essa documentação pode incluir:

  • Documentos de apólice
  • Contratos de fornecedores
  • Correspondência do fornecedor
  • Avaliações de risco do fornecedor
  • Relatórios de uma ferramenta de gerenciamento de conformidade que mostram que você está usando seu plano

O gerente sênior ou delegado do CIP deve revisar e aprovar o plano pelo menos uma vez a cada 15 meses, com evidências que podem incluir:

  • Data de revisão e aprovação
  • Documentos de apólice
  • Histórico de Revisão
  • Revisar evidências
  • Evidências de fluxo de trabalho do gerenciamento de documentos sistema.

O que deve ser incluído no plano de gerenciamento de riscos de segurança cibernética da cadeia de suprimentos?

O Fórum de Transmissão Norte-Americano (NATF) desenvolveu profissional Com o objetivo de auxiliar o setor de serviços públicos a determinar como cumprir o CIP-013, o Modelo NATF para o desenvolvimento do plano de gestão de riscos de segurança cibernética da cadeia de suprimentos concentra-se em cinco etapas abrangentes:

  1. Coletando informação
  2. Avaliar essas informações e abordar os riscos
  3. Conduzindo uma avaliação de risco
  4. Tomando a decisão de compra
  5. Implementando seus controles e monitorando seus riscos

No Site da NATF As concessionárias de serviços públicos podem encontrar os Critérios de Segurança da Cadeia de Suprimentos da NATF e o Questionário de Risco da Cadeia de Suprimentos do Setor de Energia (ESSCR) para ajudar a informar seus planos de gerenciamento de riscos.

Os Critérios de Segurança da Cadeia de Suprimentos da NATF incluem uma visão geral de alto nível das melhores práticas a serem observadas com fornecedores em áreas como:

  • Controle e gerenciamento de acesso
  • Gerenciamento de ativos, mudanças e configurações
  • Governança
  • Resposta ao incidente
  • Proteção de informação
  • Gerenciamento de vulnerabilidade

O ESSCR analisa as informações dos fornecedores em um nível mais granular, fornecendo mais de 200 perguntas que as concessionárias podem fazer a fornecedores terceirizados sobre práticas relacionadas a:

  • Práticas da cadeia de suprimentos e dependências externas
  • Procedimentos de gestão da força de trabalho
  • Gerenciamento de identidade e acesso
  • Gestão de programas de segurança cibernética
  • Gerenciamento de mudança e configuração
  • Ferramentas e arquitetura de segurança cibernética
  • Proteção de dados
  • Procedimentos de resposta a eventos e incidentes
  • Dispositivos móveis e aplicativos
  • Gestão de riscos
  • Gerenciamento de vulnerabilidade

Simplificando a conformidade com o CIP-013

Mais do que apenas documentar seu plano de gerenciamento de riscos de segurança cibernética da cadeia de suprimentos, as concessionárias de serviços públicos devem ter processos sólidos para implementá-los e documentá-los.

Um sistema automatizado Sistema de gestão de conformidade NERC apoia esses esforços fornecendo-lhes um sistema centralizado para:

  • Rastreamento de produtos e serviços de fornecedores
  • Armazenamento de acordos com fornecedores
  • Documentando a comunicação com fornecedores
  • Registro de incidentes e histórico de respostas
  • Monitoramento e avaliação comparativa do desempenho dos fornecedores
  • Vinculando informações de risco do fornecedor com informações de rastreamento de ativos

Isso não apenas ajuda as concessionárias a permanecerem em conformidade com o CIP-013, como também as ajuda a tomar decisões de seleção mais inteligentes em relação a fornecedores, ao mesmo tempo em que fornece melhor visibilidade dos riscos.

Conclusão

A gestão de riscos da cadeia de suprimentos é fundamental no setor de serviços públicos, especialmente no que se refere à segurança cibernética e à proteção de infraestrutura crítica. Ataques ao setor de serviços públicos frequentemente ocorrem por meio da cadeia de suprimentos e podem ter impactos enormes sobre os clientes e as próprias concessionárias.

A CIP-013 exige planos robustos de gestão de riscos de segurança cibernética na cadeia de suprimentos, que garantam que os processos de aquisição não coloquem a infraestrutura em risco inadvertidamente. Um sistema automatizado de gestão de conformidade com a NERC pode ajudar a garantir que o plano esteja implementado e funcionando, fornecendo uma única fonte de verdade para a documentação e o desempenho relacionados aos fornecedores.

Baixe um guia gratuito sobre Planejando uma preparação bem-sucedida da Ferramenta de Solicitação de Evidências (ERT) do NERC CIP

Sobre o autor

Kathryn Wagner Kathryn é Vice-Presidente de Soluções Industriais, Energia e Serviços Públicos da AssurX. Kathryn traz mais de 25 anos de experiência em integração e conformidade de sistemas de manufatura, sendo responsável pelo desenvolvimento e evolução de ofertas de produtos para conformidade com a NERC e sistemas relacionados com foco em confiabilidade e resiliência.