作为国家电网经历了一个转型和向更智能联网,自动化系统运行,它面临的量增加网络安全问题。
bbc问责局的监督员今天表示,同时增加了使用智能电网系统可具有许多益处,“包括从更少和更短的停机,在电价下降的压力提高的可靠性由于转移峰值需求的能力,从替代能源如风力的能力提高到发射功率,以及一种改进的能力检测和对电网的潜在攻击做出反应,”仍然存在许多挑战。
更多信息:美国出资3400万美元支持10个智能电网项目,以加强网络安全
从报告中,GAO确定以下六大挑战的关键是确保国家电网的网络安全。
•缺乏信息:消费者没有充分了解与智能电网系统相关的好处、成本和风险。具体来说,人们担心消费者不了解与智能电网系统相关的好处、成本和风险。这种意识的缺乏可能会限制消费者愿意为安全和可靠的系统付费的程度,这可能会导致监管机构不愿批准与网络安全相关的费率上调。因此,在消费者对智能电网系统的好处、成本和风险有更多了解之前,公用事业公司可能不会投资或批准智能电网系统的综合安全,这可能会增加后续攻击的风险。
•注意力不集中:公用事业公司正专注于法规遵从性,而不是全面的安全性。现有的联邦和州监管环境在公用事业行业内创造了一种专注于遵守网络安全要求的文化,而不是专注于实现全面有效的网络安全的文化。具体来说,专家告诉GAO,公用事业公司关注的是达到最低的监管要求,而不是设计一个全面的系统安全方法。此外,一名专家指出,安全需求本质上是不完整的,如果有一种文化,认为一旦满足了这些需求,安全问题就会得到解决,这将使组织容易受到网络攻击。因此,如果不采取全面的安全措施,公用事业公司就会面临不必要的风险。
•缺乏安全功能:有一种缺乏安全感的功能被内置到智能电网系统。安全功能并不一致内置到智能电网设备。例如,我们的专家告诉我们,某些现有的智能电表没有被设计具有强大的安全架构,缺乏重要的安全功能,包括这是需要检测和分析攻击事件记录和取证能力。此外,GAO指出,智能电网家庭局域网络 - 用于管理在家电等设备的用电 - 没有内置足够的安全性,从而增加他们的攻击漏洞。如果没有安全设计智能电网系统,公用事业将在不必检测和分析攻击的能力,从而增加攻击取得成功和实用程序将无法防止其再次发生的风险的风险。
• 信息共享:该电力行业没有分享关于网络安全和其他问题的信息的有效机制。电力行业缺乏透露有关智能电网的网络安全漏洞,事故,威胁,经验教训和行业最佳实践的信息的有效机制。例如,GAO指出,虽然电力行业有一个信息共享中心,它并不能完全解决这些信息的需求。
政府问责局称,有关攻击失败或成功等事件的信息必须能够以安全可靠的方式共享,以避免公开披露被报告的组织和惩罚积极采取纠正行动的实体。这种信息在整个行业的共享可以提供有关网络攻击未遂级别及其方法的重要信息,这可以帮助电网运营商更好地抵御网络攻击。如果业界追求这一目标,在设计行业主导的网络安全信息共享方法时,可以借鉴其他行业的做法和方法。如果没有用于信息共享的高质量流程,公用事业公司将无法获得充分保护其资产免受攻击者攻击所需的信息。
•衡量成功?:电力行业不具有评估网络安全指标。电力行业也受到缺乏网络安全指标的挑战,因此很难衡量其在网络安全投资,提高智能电网系统的安全程度。政府问责局指出,虽然这些指标是很难发展,他们可以帮助比较竞争解决方案的有效性并确定混合的解决方案相结合,使最安全的系统。此外,我们的专家说,有指标,将有助于公用事业通过帮助显示在一个特定的投资回报制定一个商业案例网络安全。直到指标开发的,有增加的风险,实用程序将无法在安全投资于具有成本效益的方式,或必须在其网络安全的投资做出明智的决策所需的信息。
•监管问题:目前的监管环境的各个方面难以保证智能电网系统的网络安全。特别是,管辖权问题与应对不断演变的网络威胁相关的困难是确保智能电网系统的网络安全,因为它们部署在一个关键的监管挑战。关于管辖权,专家表示关注的是,缺乏明确有关联邦和州监管机构之间的责任分工,特别是关于网络安全的。虽然管辖责任历来由技术是否位于传输和分配系统决定的,专家们提出的智能电网技术可能会模糊这些线路的担忧。例如,部署在电网部分设备,如智能电表传统上受国家管辖可能,在总体上,对电网,联邦监管机构负责的那部分的影响 - 传输系统即可靠性。
监管机构应对不断变化的网络安全威胁的能力也令人担忧。例如,一位专家质疑政府机构适应迅速演变的威胁的能力,而另一位专家则强调,监管必须能够应对不断演变的网络安全问题。此外,我们的专家对各机构未来制定的要求过于具体的法规表示关注,例如那些具体规定特定产品或技术的使用的法规。因此,除非采取措施缓解这些挑战,否则监管可能无法完全有效地保护智能电网技术免受网络安全威胁。
按照迈克尔·库尼在推特:nwwlayer8