Vendégposzt IV.: Az USA-ban ismét hatályba lépett az energetikai vészhelyzetet is kihirdető elnöki rendelet

Az ICS cyber security blog vendégposztja:
Vendégposzt IV.: Az USA-ban ismét hatályba lépett az energetikai vészhelyzetet is kihirdető elnöki rendelet

2021. április 24. – icscybersec

GéPé kolléga feszült figyelemmel kíséri az USA-ban az előző (Trump-) adminisztráció által hozott, energetikai vészhelyzetről szóló elnöki rendelet sorsát, a héten történt fejleményeket az alábbiakban foglalja össze:

Előző posztjaimban (itt és itt) érintettem a 2021. május 1-én az USA átviteli hálózatának biztonságáról kiadott elnöki rendeletet (E.O. 13920, Executive Order on Securing the United States Bulk-Power System, a továbbiakban: EO), amely energetikai vészhelyzetet hirdetett ki. Az EO-ban foglaltak szerint 90 nappal később ki kellett volna adni a végrehajtás részleteit is. Erre nem került sor. Végül nagy késéssel a DOE (Department of Energy) csak egy a kritikus védelmi létesítményekbe történő, egyes kínai eredetű villamos berendezések beépítésére vonatkozó tilalmi rendelkezést adott ki. Idén január 20-án Biden elnök első rendelkezései egyikeként az EO 90 napos felfüggesztés mellett döntött. Annak leteltével, április 20-án a DOE ismét hatályba helyezte az EO-t, egyben meghatározta a következő 100 nap teendőit. Ennek részletei még nem ismertek, mindössze csak annyi, hogy a tavaly nyári RFI (RFI: Request for Information) után újabb RFI került kiadásra (45 napos válaszadási határidővel).

Felmerülhet a kérdés, hogy ennek a kacskaringós történetnek mi köze van az ICS-ek – azon belül a villamosenergetikai ICS-ek – kiberbiztonságához?!

Nos, egyrészt „csak” annyi, hogy az EO (és a tilalmi rendelkezés) az új beszerzésű (sőt, már jelenleg is üzemelő) külföldi eredetű, vagy érdekeltségű kritikus villamos berendezések (pl. transzformátorok, mérőváltók, védelmi és irányítástechnikai berendezések) üzemeltetése és létesítése kapcsán fogalmaz meg kemény teendőket és korlátozásokat. Mindezt az USA villamosenergia rendszerét e berendezések ellátási lánca révén fenyegető kiberveszélyek miatt!

Főleg Kína nyomulása kapcsán az USA mostanában különösen kényes az ellátási láncát érő fenyegetésekre. Idén február 24-én került kiadásra az USA ellátási láncaira vonatkozó elnöki rendelet (E.O. 14017, America’s Supply Chains), amely 100 napos határidővel előírta az ellátási lánc kockázatok felülvizsgálatát, sok egyéb mellett pl. a nagyteljesítményű akkumulátorok vonatkozásában (amelyek különös fontosságúak a kritikus infrastruktúrák ICS/SCADA-i megbízható tápellátása szempontjából). Ezt a felülvizsgálatot 1 éves határidővel az energetikai szektor egésze szempontjából is el kell végezni.

Másrészt időközben robbant ki az ICS/OT rendszerekre is sokkoló tanulságokkal szolgáló SolarWinds/Orion botrány, melynek kapcsán kiderült az USA kibervédelmének – és ennek részeként az ICS-ek kibervédelmének – vaksága, mondhatni csődje.

Harmadrészt az USA továbbra is jelentős kockázatnak tekinti a kritikus infrastruktúráiba egyre nagyobb számban beépített és beépítésre kerülő kínai eredetű berendezéseket. Mint az RFI fogalmaz: „A kínai eredetű kulcsfontosságú villamos berendezések alapvető fenyegetést jelentenek, mivel a kínai törvények lehetőséget biztosítanak Kína számára, hogy kihasználja az USA kritikus infrastruktúráiban használt – Kínában gyártott vagy szállított berendezések – sebezhetőségeit.”

Az ismételt hatályba helyező rendelkezés tartalma és gyakorlati következményei több kérdést is felvetnek. Pl.

  • Mitől lehetne most éppen 100 nap alatt kezelni egy olyan – sőt azóta „még olyanabb” (lásd SolarWinds/Orion) – helyzetet, amelyet egyszer már 90 nap alatt nem sikerült?!
  • A „stabil politikai környezet megteremtése” elégséges indok-e az elmúlt időszak egyetlen érdemi (és indokolt) fejleménye – a kritikus védelmi létesítményekre vonatkozó decemberi tilalmi rendelkezés – visszavonására?!
  • Az érintett villamosenergetikai cégek miként tudnak megfelelni annak az elvárásnak, hogy a most kezdődött 100 napban az EO előírásai szellemében tevékenykedjenek, ha a végrehajtás részletei jó esetben csak a 100 nap leteltével lesznek megismerhetők?!
  • Hogyan kerülnek finanszírozásra az EO-ban foglaltak végrehajtásának várhatóan horribilis költségei?!

Tehát továbbra is izgalmas hónapoknak nézünk elébe.

És egy pillanatig ne gondoljuk, hogy mindez tőlünk messze, a távolban történik, melyhez nekünk itt Magyarországon semmi közünk. A mai globalizált ellátási láncokat érő fenyegetések minket is érnek! Azaz a kritikus infrastruktúrák – azon belül hangsúllyal a villamosenergia-rendszer – kiberbiztonsága hazai illetékeseinek nagyon is érdemes elgondolkodniuk azon, hogy vajon az USA miért is nyomja ennyire a csengőt!?

***

A vendégposzt eredetije az ICS cyber security blogon jelent meg.