Figyelemre méltó gondolatok hangzottak el a Federal Energy Regulatory Commission (FERC) szeptember 30-án tartott éves megbízhatósági technikai konferenciáján.
A villamosenergia-rendszerben zajló paradigmaváltásra – hangsúllyal az elosztott energiatermelés térnyerésére, az IT-OT konvergenciára –, valamint az ellátási láncok elleni gyakoribb támadásokra tekintettel a FERC hajlamos újra gondolni az energiaágazat kiberbiztonsági szabályozását. Nem meglepő módon ezt a folyamatot leginkább a villamos művek mintegy 25%-át is érintő SolarWinds/Orion, valamint a Colonial Pipeline támadások indították el.
Az eddigi gyakorlat szerint a biztonsági követelmények szintjét a létesítmény mérete határozza meg. A FERC-ben azon gondolkoznak, hogy áttérjenek a kockázatértékelésen és hatásvizsgálaton alapuló besorolásra.
Figyelemre méltó volt Ben Miller, a Dragos kutatás-fejlesztésért is felelős alelnökének véleménye is, amely szerint a NERC jelenlegi szabályozása túlzottan megelőzés-centrikus. Szerinte túl kevés figyelem jut a reagálásra, a helyreállításra és a nyomon követésre. A NERC CIP-szabványainak mintegy 70%-a vonatkozik a megelőzésre, míg „minden más” a fennmaradó 30%-ban kerül szabályozásra.
A konferenciához kapcsolódó egyes tartalmak ITT meg ITT érhetők el.
A fenti felvetéseket azon turbulenciák összefüggésében érdemes értékelni, amelyeket a Biden adminisztráció elszánt(nak tűnő) és mélyreható(nak tűnő) – paradigmaváltó (?) – intézkedései, kezdeményezései keltenek. Logikus lépés, ha a FERC az alapokig visszanyúlva gondolja újra a kritikus infrastruktúrák kiberbiztonsági szabályozását.
Pro domo:
A SeConSys egyebek mellett éppen azt tűzte ki célul, hogy szakértői válaszok, javaslatok megfogalmazásával segítsen a mindenkori történések által felvetett kérdések kezelésében. A NERC-ben megindult „újratervezési” folyamat egyik kiváltó eleme – az elosztott energiatermelés térnyerése jobban, az IT-OT konvergencia kevésbé – hazánkban is jelen van. A másik kiváltó elem – SolarWinds/Orion, ill. Colonial Pipeline kaliberű támadások – szerencsére (még) nincs.
Ettől még nem lenne haszontalan az illetékesek körében e fejlemények lehetséges hazai vonzatainak áttekintése.
[20]
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.