美国能源部今天宣布了一项名为“电力行业网络安全风险管理成熟度”的项目,该项目将让公用事业公司和电网运营商衡量其当前的能力,并分析其网络防御方面的差距。能源部表示,成熟度模型依靠最佳实践来确定组织的优势和劣势,被其他部门广泛使用,以提高绩效、效率和质量。
更多的权力:2011年15个酷能源项目
该倡议将涉及来自能源部门,白宫,国土安全部和关键公用事业公司的官员将在接下来的几个月内,可以在整个电力领域使用的成熟度模型。
十多家电力公司和电网运营商预计将参与试点项目,对该模型进行测试,评估其有效性并验证结果。美国能源部表示,该项目将帮助开发一个风险管理成熟度模型,预计将在今年夏天晚些时候提供给电力行业。
美国能源部长朱棣文在一份声明中表示:“建立一个全面的网络安全方法将为公用事业公司和电网运营商提供另一个重要工具,以提高电网应对网络安全风险的能力。”
这一举措建立在美国能源部和其他政府机构为更好地保护美国脆弱的电网而制定的其他策略之上。
例如,美国能源部9月份发布了一份路线图,确定了建设安全能源基础设施的关键挑战。美国能源部在报告中指出,在未来五年内,能源公司将面临工程师和熟练技工的严重短缺。例如,大约45%的工程师——仅电力公司就有7000人——预计将退休或因其他原因离职。此外,为了满足整个经济的需求,可能需要两到三倍的动力工程师,未来的运营将需要比现在更广泛的技能。”
留住关键人员只是建立美国能源部所谓的安全文化的众多挑战之一。从报告:
- §能源交付系统的有限知识,培训,理解和升值安全风险抑制了能源部门内的安全行动。在失败模式和漏洞方面,还存在对决策和系统恢复性成本的不完整。目前的风险评估能力降低了确定每个成本决定在失败模式和漏洞方面对系统恢复的影响。
- §虽然标准有助于将安全性提升到能源部门的基线水平,但一些标准仍然不明确或过于广泛,或者可能会促使公用事业利用不太高级的安全措施来满足要求。此外,迅速变化的风险环境意味着今天的标准合规性明天可能是不够的。
- §提高安全性以成本为本,难以向能源组织展示直接的线路益处。如果没有发生灾难性的网络事件或强大的商业案例,公共和私人合作伙伴将继续有限的时间和/或资源来投资伙伴关系努力。
- §网络入侵工具越来越复杂,能源传输系统越来越复杂,一旦发生事故,资产所有者和运营商就很难识别。自动入侵检测系统和应用程序的使用有可能带来严重的操作问题。
- §实用程序中的高管,公众甚至组织仍然缺乏对能源交付系统漏洞的充分理解和事件的潜在后果。有限的威胁和事件信息交换可防止该部门编制其需要建立一个引人注目的业务案件以增加能源交付系统安全性的私人投资。可信,可行,及时的信息对确保能源部门可以充分减轻能量交付系统漏洞,以便在对手利用它们之前充分减轻能量交付系统漏洞。
- §认为符合安全标准足以保证能源输送系统的网络安全,禁止采取额外的安全措施
- §安全的编码实践并非统一强制执行
- §能量交付系统中的修补/修复漏洞可以创建新的网络风险
12月,我的同事埃伦梅尔德指出,自2000年以来,国土安全部(DHS)鼓励各国和城市建立所谓的“融合中心”,以便在当地控制下运营,并收集来自电力公司的喜好信息关于可能具有国家安全影响的事件的水资公用事业。根据DHS,U.S.现在有72个这些融合中心在其实践中各不相同。
这些观察结果来自于有个足球雷竞技app网络世界故事,讲述了在伊利诺伊州水厂报告的网络攻击周围的争议。当其中一个中心,伊利诺伊州的恐怖主义和情报中心(Stic)发布了11月10日标题为“公共水域网络侵入”的简要报告,导致了争议的狂热,这是一个秘密的报告系统in the harsh glare of the public spotlight, and highlighting the intrinsic weakness in the way the U.S. critical-infrastructure incident reporting system works today.
这些类型的挑战面临着DOE和涉及保护关键基础设施的其他挑战。
层8额外
看看其他热门故事: