2 de agosto de 2018
A Comissão Federal de Regulamentação de Energia (FERC) emitiu a Ordem nº 848 em 19 de julho, que instrui a North American Electric Reliability Corp. (NERC) a expandir os padrões de confiabilidade do CIP para incluir relatórios obrigatórios de incidentes de segurança cibernética que possam prejudicar o sistema elétrico em massa (BES).
A ordem apoiará uma visão mais proativa da segurança cibernética e permitirá uma avaliação mais eficaz da exposição ao risco de BES. Isso está em linha com as melhores práticas do setor de adoção de modelos CIP para medidas preventivas baseadas em risco para proteger BES.
A ameaça é real
Os hackers russos acabaram de afirmar que foram capazes de penetrar nas salas de controle de serviços públicos dos EUA no ano passado e poderia ter causado apagões generalizados. Enquanto a investigação continua, há poucas dúvidas entre especialistas da indústria que a qualquer momento, ataques cibernéticos têm o potencial de comprometer os fluxos de energia.
Enfatizando esse potencial iminente, a Ordem 848 instrui a NERC a modificar os padrões de confiabilidade do CIP para exigir a notificação de “Incidentes de Segurança Cibernética, incluindo incidentes que possam facilitar esforços subsequentes para prejudicar a operação confiável do [sistema elétrico em massa] BES”.
O Ímpeto por Trás da Ordem
Ausência de incidentes cibernéticos relatados de acordo com o padrão de confiabilidade atual da NERC CIP-008-5 O Relatório de Incidentes de Segurança Cibernética e o Planejamento de Respostas têm causado preocupação para a FERC, e com razão. Relatar um comprometimento ou interrupção de "uma ou mais tarefas de confiabilidade" após a ocorrência do comprometimento pode ser indicativo de falta de vigilância incorporada a uma estrutura holística de gestão cibernética.
Em breve, as entidades registradas serão responsáveis por relatar qualquer tentativa de comprometer seu perímetro de segurança eletrônica (ESP) ou sistema de controle ou monitoramento de acesso eletrônico (EACMS) associado. Qualquer dispositivo dentro do perímetro considerado um ativo cibernético crítico se enquadra nesse limite.
Impacto na classificação de riscos e ameaças
A nova norma "aumentará a conscientização sobre ameaças de segurança cibernética existentes e futuras e vulnerabilidades potenciais" para o BES. Além disso, espera-se que a NERC reduza os prazos para o envio de relatórios de incidentes de segurança cibernética "com base em uma avaliação de impacto de risco e uma abordagem de priorização de incidentes para a comunicação de incidentes".
Reportar ameaças ao BES antes de um comprometimento confirmado permite que os reguladores (E-ISAC, ICS-CERT) identifiquem, monitorem e respondam ao que pode ser uma ameaça em ascensão além do nível da entidade individual. A abordagem de investigação e remediação de riscos significativos demonstra uma visão holística e proativa da segurança cibernética e contextualiza a exposição a riscos de forma mais eficaz.
Preparação e Prevenção
Assim como a NERC atualizou as diretrizes do CIP para controlar o acesso remoto a sistemas críticos em toda a cadeia de suprimentos, o mesmo princípio de preparação e prevenção se aplica ao próximo padrão de vigilância cibernética.
A gestão de riscos cibernéticos é um processo continuamente adaptável. Embora nenhuma rede seja impenetrável, o objetivo é estar na melhor posição para detectar ameaças, analisar os riscos e responder com um processo que os mitigue, apoie a meta de conformidade contínua e mantenha evidências para prontidão de auditoria.

A Avaliação e Classificação de Sistemas Cibernéticos do BES são componentes de um sistema de conformidade NERC de ciclo fechado com múltiplos processos integrados. Clique na imagem para ampliar.
Uma abordagem moderna de conformidade com o NERC CIP
As entidades mais bem preparadas para a conformidade total com a Ordem 848 e o CIP da NERC são aquelas que já possuem sistemas de conformidade de segurança cibernética eletrônica implementados. As características comuns dessas entidades incluem:
- Recursos poderosos de configuração e integração
- Fluxos de trabalho automatizados com base nas diretrizes atuais do NERC CIP
- Uma única plataforma como fonte centralizada de informações para relatórios automatizados, auditoria e conformidade regulatória
- Um processo de gerenciamento de documentos e dados que comprova o monitoramento e a execução em conformidade com o CIP
- Um processo de controle de mudanças colaborativo que documenta métodos e autorizações
- Uma visão holística e controle total de todos os ativos e acessos, incluindo terceiros que têm conectividade e acesso a redes de sistemas de energia em massa
Conclusão
Conformidade com CIP provou ser um desafio devido à natureza rápida e mutável dos requisitos de conformidade. No entanto, a ameaça ao setor continuará a exigir padrões mais rigorosos para detectar e impedir o máximo de vulnerabilidades possível. O NERC fornece diretrizes que são as mais inclusivas em qualquer setor, mas sem uma sistema integrado de conformidade NERC CIP no lugar, as entidades registradas continuarão ficando para trás e enfrentarão penalidades e, pior, uma maior probabilidade de ataques cibernéticos.
Sobre a AssurX, Inc.
Com décadas de experiência incorporadas em nosso software de gerenciamento de qualidade e conformidade regulatória, a Plataforma de Gerenciamento de Qualidade AssurX ajuda as empresas manter a qualidade e a conformidade padrões, otimizar o fluxo de trabalho e gerenciar melhor qualquer empresa. Nossos software configurável e um profundo conhecimento das necessidades dos usuários produzem um sistema único que se adapta facilmente à evolução do seu negócio. A AssurX é a parceira ideal para empresas regulamentadas que buscam maior controle operacional e eficiência, mantendo a conformidade. Para saber mais, visite www.assurx.com.



