Az elmúlt év végi nagy „zajban” (pattanásig feszülő, háborús veszélyt is felvető orosz-ukrán és orosz-amerikai kapcsolatok, Log4J sérülékenységgel kapcsolatos történések) közepette alig érte el az ingerküszöböt a különösen a SolarWinds támadás után figyelmet kapott supply chain sérülékenységgel kapcsolatos legfrissebb amerikai lépés.
Az alighanem eddigi leghosszabb poszt erről igyekszik képet adni.
A DOE november 29-én egy roppant részletes adatkérést (RFI: Request for Information) adott ki.
Hihetetlenül izgalmas olvasmány, hiszen önmagukban a kérdések is hű
képet adnak arról, hogy az USA kormányzata mely területeken lát nemzetbiztonsági kockázatokat.
Az RFI az alábbi fő témaköröket érinti:
- Az energiaágazati ipari bázissal kapcsolatos átfogó témák
- Napelemes PV-technológia
- Szélenergia-technológia
- Energiatárolási technológia
- Elektromos hálózat-transzformátorok és HVDC
- Vízenergia és szivattyús tárolási technológia
- Nukleáris energiatechnológia
- Üzemanyagcellák és elektrolizálók
- Félvezetők
- Neodímium mágnesek
- Platinacsoportba tartozó fémek és egyéb katalizátorként használt anyagok
- Szén-dioxid-leválasztó, -tároló és -szállító anyagok
- Kiberbiztonság és digitális alkatrészek
- Kereskedelmi hasznosítás és versenyképesség
Ezek mindegyike izgalmas téma, de koncentráljunk a SeConSys fókuszterületét érintőkre!
Egyes kínai gyártmányú nagytranszformátorokban valószínűsített hw backdoor-ok miatt különösen hangsúlyosak pl. az 5. tématerület kérdései:
- tématerület: Villamos hálózat – Transzformátorok és HVDC (berendezések és hálózatok)
- Melyek a jelenlegi és jövőbeli ellátási lánc sebezhetőségei, tekintettel … … a nagy teljesítményű transzformátorok (LPT) és a nagyfeszültségű egyenáramú technológia iránti kereslet várható növekedésére (HVDC)? A sebezhetőségek közül melyek azok, amelyekkel az Egyesült Államoknak a leginkább foglalkoznia kell, és melyekre kell összpontosítania, és miért?
- …
- … Milyen feltételekre van szükség ahhoz, hogy az LPT és HVDC ellátási láncban részt vevő vállalatok ösztönzést kapjanak a hazai gyártási kapacitások kiépítésére és bővítésére?
- …
- …
- …
A globális chiphiány tükrében figyelemre méltók a 9. tématerület kérdései:
- terület: Félvezetők
- Milyen az amerikai és a globális ellátási láncok jelenlegi helyzete mind az energiaágazathoz kapcsolódó adat- és érzékelőalkalmazásokban használt hagyományos félvezetők, mind a teljesítményelektronikai alkalmazásokban az energiaáramlás szabályozására használt széles sávszélességű félvezetők tekintetében? Melyek a jelenlegi és a jövőbeli félvezető-ellátási lánc sebezhető pontjai az energiaágazat (energiaellátás, energiahatékonyság, keresleti technológiák, hálózat, üzemanyagok stb.) átalakítására irányuló erőfeszítéseink fokozásával, a szén-dioxid-mentesítés támogatása érdekében? E sebezhetőségek közül melyek azok, amelyekkel az Egyesült Államoknak a leginkább foglalkoznia kell, és melyekre kell összpontosítania, és miért?
- … Az ellátási láncban hol lát lehetőséget arra, hogy az USA hazai képességeket építsen ki a félvezetők gyártására? …
- Milyen kihívások korlátozzák az Egyesült Államok képességét a hazai félvezetőgyártás kiépítésének lehetőségeinek kihasználására? Milyen feltételekre van szükség ahhoz, hogy a félvezető-ellátási láncokban részt vevő vállalatok ösztönzést kapjanak a hazai gyártási képességek kiépítésére és a gyártás bővítésére? …
- Hogyan segíthet a kormányzat a magánszektornak és a félvezetőgyártásban részt vevő közösségeknek a hazai gyártási kapacitások kiépítésében és a félvezetőgyártás felfuttatásában? Milyen konkrét kormányzati politikák vagy beruházások lesznek a legfontosabbak a félvezetőgyártás és az ellátási lánc rugalmasságának támogatásában?
- …
- …
- …
És végül lássuk a minket leginkább érintő témacsoport kérdéseit:
- terület: Kiberbiztonság és digitális komponensek
A beszállítói lánc áttekintése szempontjából az energiaágazat ipari bázisában a digitális komponensek közé tartoznak a firmware, a szoftver, a virtuális platformok és szolgáltatások, az adatok és az ipari vezérlőrendszerek. Kérjük, hogy válaszában tegye meg az ezzel a körítéssel kapcsolatos észrevételeit.
- Hogyan kellene a kormányzatnak megközelítenie az energiaágazati ipari bázis digitális alkatrészellátási láncainak fizikai és virtuális manipulációval és nemzetbiztonsági fenyegetésekkel szembeni megerősítését? Hogyan kellene a szövetségi kormánynak prioritásként kezelnie a digitális alkatrészellátási láncok védelmét?
- A kritikus infrastruktúrát fenyegető kiberfenyegetések, köztük a ransomware-támadások robbanásszerű növekedése egyre nagyobb nemzetbiztonsági problémát jelent, amelyet a digitális alkatrészellátási láncok sebezhetőségei tehetnek lehetővé, és számos nemzeti kezdeményezés van folyamatban e fenyegetés elhárítására. Vannak-e olyan energiaágazat-specifikus megfontolások vagy prioritások, amelyeket a kormánynak figyelembe kellene vennie a digitális alkatrész-ellátási láncok kiberfenyegetésekkel – többek között a zsarolóprogramok használatával – szembeni ellenálló képességének növelése érdekében?
- Milyen lépéseket kellene tennie a kormánynak annak érdekében, hogy javítsa a digitális komponensek megbízhatóságát az energiaágazat ipari bázisán belül, és csökkentse a megbízhatatlan szoftverbeszállítókra, integrátorokra és karbantartókra való támaszkodást?
- A globális digitális alkatrészellátási láncok rendkívül dinamikusak és összetettek. Milyen politikákat kellene a kormánynak folytatnia az energiaágazati rendszerekben használt digitális komponensek eredetének megvilágítása érdekében? Például ki fejlesztette ki a szoftvert, ki üzemelteti a digitális platformokat, vagy kurátorként kezeli az adathalmazokat, és melyik országban? Ki tartja karban ezeket a digitális eszközöket (ha egyáltalán van ilyen), és kinek van folyamatos hozzáférése a karbantartáshoz? Hogyan közelítse meg a kormányzat a digitális összetevők és/vagy rendszerek rangsorolását, hogy megvilágítsa vagy megvizsgálja a komponenseket az ellátási lánc kockázatainak kezelése érdekében?
- A digitális komponensek szolgáltatóinak nem biztos, hogy ugyanazok az ellátási lánc biztonsági követelményei vannak, mint az energiaágazatban működő eszköztulajdonosoknak. Tekintettel az energiaágazati rendszereket alkotó különböző digitális komponensek közötti összekapcsoltságra és átmenő kockázatra, hogyan kellene a kormányzatnak kezelnie a hiányosságokat és/vagy biztosítania a digitális komponensekre vonatkozó ellátási lánc biztonsági követelmények következetességét?
- Az energiaágazatban egyre növekvő tendencia a rendszerek távoli üzemeltetése. Milyen szakpolitikai lépéseket kellene tennie a kormánynak az energiaágazat kritikus funkcióinak működtetésére használt platformok és szolgáltatások ellátási láncának biztonsága érdekében?
- Az összesített és rendszerezett adatok értékes globális árucikké váltak (pl. adat, mint szolgáltatás), és ma már a globális digitális ellátási láncok kritikus részét képezik. Az adatok a szoftverekhez hasonló kiberellátási lánc kockázatot jelentenek; konkrétan a rosszindulatú manipuláció jelentős és szinte felderíthetetlen rendszerhibákat okozhat. Az egyre szélesebb körű alkalmazással a mesterséges intelligencia/gépi tanulási képességeknek az energiaágazati rendszerekben való alkalmazásának fokozódásával milyen szakpolitikai lépéseket tehetne a kormányzat az adatok kiberellátási lánccal kapcsolatos kockázatának kezelése érdekében?
- Hogyan ösztönözheti és/vagy ösztönözhetné a kormányzat az energiaszektor kritikus infrastruktúráinak magánszektorbeli tulajdonosait és üzemeltetőit arra, hogy üzleti kockázati döntéseikben jobban figyelembe vegyék a nemzetbiztonsági kockázatokat?
- Milyen konkrét készségekre van szükség az energiaágazati ipari bázis biztonságos digitális összetevőinek kiépítését, üzemeltetését és karbantartását támogató munkaerő fejlesztéséhez és növeléséhez? Van-e például készséghiány és/vagy kínálati hiányosság az ipari vezérlőrendszerek szoftvereit fejlesztő és karbantartó munkaerőben? Melyek azok a készségek, amelyek hiányoznak a jelenlegi oktatási/képzési programokból? Milyen erőforrásokra (beleértve az időt) és struktúrákra lenne szükség a kiberbiztonsági munkaerő képzéséhez? Milyen munkavállalói csoportok, középfokú oktatási intézmények és egyéb érdekelt felek lehetnek értékes partnerek ezekben a képzési tevékenységekben? Milyen új oktatási programokat kellene bevonni (kidolgozni?) a munkaerő felkészítése érdekében?
- Milyen egyéb inputokat kellene a szövetségi kormányzatnak figyelembe vennie a kiberbiztonság és a digitális alkatrészek rugalmas ellátási láncának támogatása érdekében?
Ezek mindegyike megérne minimum egy-egy külön blogposztot!
És hazai szemmel nézve különösen
érdekes belegondolni abba, hogy a DOE által lefedett szakterületekben illetékes hazai kormányzati szervek egy hasonló kérdéssort adnának ki.
A válaszokat a DOE 2022. január 15-ig várta. Ennek alapján az energiaügyi miniszternek február végéig kell elkészítenie az energiaágazat ellátási láncával kapcsolatos kérdésekről szóló jelentését. Amennyiben ezt publikálják, akkor tanulságos lesz megismerni, hogy a villamosenergetikai stakeholderek miként ítélik meg a supply chain sérülékenységek kezelésére való felkészültségüket, valamint a szerintük kormányzati ügykörben végzendő intézkedéseket.
Nem kell mondani, hogy mindezek mennyire hangsúlyos kérdések (az USA-ban).
[30]
***
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.