Dans le rapport 2024 de la Federal Energy Regulatory Commission (FERC) sur les leçons tirées des vérifications de fiabilité du PIC dirigées par la Commission, le personnel de la FERC a constaté que même si la plupart des processus et des procédures de protection de la cybersécurité adoptés par les services publics répondaient aux exigences du CIP pour protéger le système électrique en vrac (BES), des risques potentiels de non-conformité et de sécurité subsistaient.
Le rapport de 2024 fournit des conseils pour améliorer la sécurité du réseau électrique et la conformité aux exigences des normes CIP de la NERC. Le rapport contient un résumé utile des pratiques recommandées actuelles et passées que les clients du CRT sont invités à examiner en détail.
Les leçons apprises en 2024 sont les suivantes :
- Évaluer le risque pour les opérations que présentent les cyber-actifs connexes, comme les systèmes électroniques de contrôle ou de surveillance de l’accès (EACMS), les cyber-actifs protégés (APC) et les systèmes de contrôle d’accès physique (PACS), et envisager des contrôles de sécurité supplémentaires au-delà de ceux qui sont requis par leur catégorisation. (CIP-002-5.1a, Identification et catégorisation des biens du cybersystère BES – R1)
- Assurez-vous que les centres de contrôle logiquement segmentés à un emplacement de site unique sont évalués comme un centre de contrôle unique dans les procédures d’identification et de catégorisation des actifs BES. (CIP-002-5.1a, Catégorisation du centre de contrôle – R1)
- Les intervenants doivent s’assurer que les données de référence sur les cyber-actifs comprennent tous les logiciels intentionnellement installés et disponibles sur le marché sur chaque cyber-actif, y compris les extensions de navigateur et les applications autonomes. (CIP-010-4, R1.1.2 : Rapports de base sur les extensions de navigateur et les applications autonomes)
- Identifier, surveiller et mettre en œuvre des contrôles pour protéger l’information du cybersyst système (BCSI) de BES afin d’atténuer les risques posés par la divulgation non autorisée et l’accès non autorisé. (CIP-011-2, R1 : Protection de l’information sur les cybersyst systèmes BES)
- S’assurer que les risques de divulgation non autorisée et de modification non autorisée des données en temps réel transmises entre les centres de contrôle dans un seul environnement (réseaux, FSE, etc.) sont identifiés et traités. (CIP-012-1, Identification des communications en temps réel du centre de contrôle – R1)
Prochaines étapes : TRC peut vous aider
Les clients du CRT sont encouragés à lire le rapport pour mieux comprendre chacun des risques de sécurité ci-dessus. Le rapport comprend des suggestions d’approches d’atténuation et des directives générales pour la conformité continue. Plusieurs des leçons apprises sont des pratiques de cybersécurité standard de l’industrie au-delà des exigences de la conformité NERC CIP, mais sont fortement recommandées.
Le rapport comprend également des références aux leçons tirées des années précédentes et fournit une bonne liste de contrôle pour le programme de conformité au PIC de votre entreprise.
CVR a des spécialistes qualifiés du PIC pour vous aider dans votre examen lorsqu’une évaluation indépendante par un tiers de votre programme de PAA est nécessaire.
Ressources :
- Le rapport du personnel de la FERC présente les leçons tirées des vérifications du PIC de 2024
- Solutions de sécurité physique pour les services publics
- Soutien à la cybersécurité pour les services publics
- Exemple de projet NERC CIP
- NERC CIP-014 Compliance Support &Services (Sécurité matérielle)
- CIP-014-3 (Sécurité matérielle) – Soutien après l’évaluation
À propos de la pratique de sécurité et de cybersécurité de TRC :
L’approche de TRC en matière de sécurité, y compris la cybersécurité, équilibre les solutions qui intègrent des normes appropriées, des exigences réglementaires, des pratiques exemplaires, ainsi que des objectifs et des budgets opérationnels. Notre travail pour les clients des services publics et privés témoigne de notre compréhension des opérations de sécurité. Notre application réussie de solutions technologiques dans un paysage commercial et réglementaire en constante évolution vous donnera confiance en ce qui concerne vos programmes de sécurité. Nos experts en sécurité et en systèmes d’alimentation vous aident à garder une longueur d’avance sur l’évolution des attentes réglementaires, car ils restent engagés dans le processus réglementaire et savent comment planifier, concevoir et installer des programmes qui répondent à vos objectifs financiers, techniques et de planification, y compris la conformité aux normes et directives changeantes de la NERC Security ainsi qu’aux « meilleures pratiques » de l’industrie et aux derniers développements technologiques.
Cette mise à jour réglementaire est un service aux clients des services publics de TRC, vous aidant à vous tenir au courant des problèmes qui ont une incidence sur les risques de sécurité du système électrique de votre entreprise ainsi que des sujets connexes concernant les développements réglementaires futurs pour vous aider à atteindre les objectifs commerciaux de votre entreprise.