保護電網進行時！美監管機構要求強化電網聯網便攜設備安全基線

?

?《安全內參》編譯

??????? 美國監管機構正在試圖解決日常電子產品（例如筆記本電腦和閃存驅動器）對電網造成的網絡安全風險問題。

??????? 上周美國聯邦能源管理委員會發布了一項新規定，要求公用事業公司對“低影響力”或者被認為不那么重要的便攜式設備部署安全控制。該委員會還要求修訂電源可靠性標準，以降低這些設備中惡意代碼帶來的風險。

??????? 在此之前，美國國土安全部警告稱俄羅斯政府黑客已經鎖定美國能源公司，并且美國國會也在準備立法確保電網安全。

??????? 觀察家們表示，聯邦能源委員進一步加強電網安全控制可能會影響該部門大部分網絡安全做法。

??????? 在聯邦能源管理委員會代表公用事業部門的律師丹尼爾·斯基思（Daniel Skees）稱，新的規定意味著公用事業企業將經歷“重大變化”，因為他們將需要對不太關鍵的變電站和發電機部署更多的網絡安全措施。?

??????? 摩根·劉易斯律師事務所合伙人斯基思表示：“技術人員將需要前往美國各地的遠程設施檢查安全控制，從邏輯上將，這將比過去電網安全工作復雜得多。”

??????? 聯邦能源委員會監管的北美Electric Reliability電力公司表示，新政策“代表網絡安全標準的下一階段”，它將推動該行業的基準網絡安全。

??????? 工業系統網絡安全工程師邁克·托克爾（Michael Toecker）稱，新規定加強了對筆記本電腦和USB驅動器等設備的保護，而其實這些設備在企業和工業環境早已部署嚴格安全控制。

??????? 托克爾表示，他對新規定的唯一擔憂是，在2020年1月最后期限到來之前，公用事業公司可能不會快速更新其安全措施。他指出：“電力資產所有者的目標應該是盡快保護其系統。”

??????? 自2009年Stuxnet蠕蟲病毒利用便攜式媒介成功入侵伊朗鈾濃縮設施的“空氣間隙”系統以來，USB驅動器的恐懼一直籠罩著能源行業。雖然這是資源充足和有針對性的攻擊，并且，聯邦能源管制委員會的新規定不適用于核設施，但Stuxnet的故事仍然讓能源行業感到擔憂。

??????? 此外，黑客在2015年12月襲擊烏克蘭電網，導致22.5萬人遭遇停電，一年后，另一起攻擊利用惡意軟件導致烏克蘭變電這斷電，這些事件都引起美國公用事業部門的密切關注。

??????? 自烏克蘭襲擊事件發生以來，電網安全問題也越來越受到美國國會的關注，立法者希望加強所有公用事業基礎設施的安全性。為此，眾議院能源與商務小組委員會上周就此提出不少于四項法案，其中一項將設立一個自愿性能源計劃，用于測試支撐電網的工業控制系統（ICS）產品。

??????? 美國國土安全部上個月表示，這些系統一直是俄羅斯政府黑客的攻擊目標，他們目標還包括從核電到關鍵制造等多個行業。

??????? 斯基思表示，他認為聯邦能源管理委員會不斷規范低影響力電力資產的網絡安全是因為，該委員會已經擴大網絡安全要求涵蓋的設施范圍。

??????? 斯基思稱：“在這些網絡中的所有人都需要部署強大的網絡安全措施，否則，其他國家競爭對手發現薄弱環節只是時間問題。”

??????? 本文由安全內參翻譯自CyberScoop