Sektörden Haberler

NERC Güvenlik Entegrasyon Stratejisi kapsamında Enerji Sektöründe Uygulanacak Siber Güvenlik Stratejilerini Yayınladı.

14 Aralık 2022

Kuzey Amerika Elektrik Güvenilirliği Komisyonu (NERC), muhtemel saldırılar karşısında potansiyel önlemleri geliştirirken aynı zamanda riskleri belirlemeyi ve önceliklendirmeyi amaçlayan Güvenlik Entegrasyon Stratejisini kamuoyuna açıkladı. Bu strateji dokümanı, Elektrik Güvenilirliği Kuruluşunun (ERO) enerji sektöründeki paydaşlarla iş birliği yoluyla güvenlik entegrasyonunu geliştirme hedeflerini de tanımlıyor.

Kuruluş yaptığı çalışmayla, siber ve fiziksel güvenliği; Enerji şebekelerinin planlanmasına, inşasına ve işletimine dahil ederek güvenilirliği garanti etmeyi amaçlıyor. Ayrıca, enerji sektörü paydaşlarına da iş birliği yaklaşımı ile, güvenlik entegrasyonunu geliştirmek için ERO tarafından kullanılacak hedefleri belirliyor ve potansiyel hafifletme önlemlerinin önceliklendirilmesini ve geliştirilmesini sağlıyor.

Belirli risklerin azaltılmasında kaynak tahsisi ve proje önceliği tavsiye etmek için ERO politikalarının, prosedürlerinin ve programlarının uygulanmasına ilişkin tavsiyeler sağlayan NERC Risk Çerçevesi, NERC Güvenlik Entegrasyon Stratejisinin ilkelerini haritalamak için kullanılabilecek. ERO'nun risk azaltma çabalarının etkinliğini değerlendirmesi ve gelecekteki önceliklendirme, azaltma çabaları ve program geliştirmeleri için kritik girdi sağlaması için NERC Risk Çerçevesi, tedbirler uygulandıktan sonra riski izleme görevini de üstlenir.

NERC Güvenlik Entegrasyon Stratejisine göre, “Riskin etkili bir şekilde azaltılması, ERO Kuruluşu, endüstri ve teknik komiteler, özellikle Güvenilirlik ve Güvenlik Teknik Komitesi (RSTC) ve Güvenilirlik Sorunları Yönlendirme Komitesi (RISC) arasındaki iş birliğine dayalı bir süreçtir.” Bunlara ek olarak ise 'NERC Risk Çerçevesi, risk tanımlama, azaltma önlemlerinin uygulanması ve bu azaltmaların etkinliğinin değerlendirilmesini içeren ERO Enterprise uzmanlarıyla yan yana çalışan endüstri uzmanlarıyla şeffaf bir yaklaşım sunar.”

Çalışma içerisinde, diğer işletmeler ve sektörler tarafından kullanılan risk yönetimi çerçevelerine uygun olarak altı özel eylem tanımlanmıştır.

Bunlar,

  • Risklerin tanımlanması ve doğrulanması,
  • Risklerin önceliklendirilmesi,
  • İyileştirme ve hafifletme önlemlerinin belirlenmesi ve değerlendirilmesi,
  • Hafifletme önlemlerinin uygulanması,
  • Başarının ölçülmesi
  • Risklerin izlenmesini içerir.

Bu aşamaların her biri, süreçlerin oluşturulması, paydaşların katılımı, doğrulama/önceliklendirme stratejileri, kalıcı riski izleme ve ERO Kuruluşunun bir risk üzerindeki kontrol seviyesinin değerlendirilmesi gibi çeşitli eylemleri gerektirecektir.

ERO, risk azaltma çabalarını ilerletmek için endüstri paydaşlarıyla işbirliği yapmaya, güvenlik endişelerini proaktif olarak belirlemeye ve ele almaya kararlılıkla devam ediyor. Güç endüstrisindeki OT (operational technology) ortamları, bu gereksinimleri karşılamak için riskleri tanıyabilmeli, önceliklendirebilmeli ve azaltabilmelidir.

Plan, dört önemli alanda güvenlik entegrasyonu fikrini desteklemektedir. Toplu güç sisteminin güvenilir ve güvenli işleyişini garanti etmek için NERC Güvenlik Entegrasyon Stratejisinin temel ilkeleri hem kısa vadeli hem de uzun vadeli eylem öğelerini (BPS) içeriyor. Siber bilgilendirilmiş iletim planlaması, toplu risk değerlendirmeleri, OT alanındaki bulut teknolojileri, dağıtılmış enerji kaynağı (DER) ve DER toplayıcı siber güvenlik, stratejinin şu anda en çok önem verilen unsurları arasında yer almaktadır.

Önceliklendirme, risk belirleme ve doğrulama ile potansiyel hafifletme önlemlerinin oluşturulması NERC Güvenlik Entegrasyon Stratejisinin ana hedefleridir. ERO'nun yaklaşan çalışması, bu tür azaltımların nasıl uygulanacağını inceleyecek ve endüstri ile ilerlemeyi ortaklaşa değerlendirecektir.

NERC, anonimleştirilmiş verileri ve öğrenilen dersleri kullanarak cyber-informed iletim planlamasını ve ekstra operasyonel kontrolleri endüstri uygulamalarına ve muhtemelen gelecekteki NERC standartları yükseltmelerine entegre etmek için teknolojik bir temeli araştırabilir. Bu yaklaşım aynı zamanda bulut hizmetlerinin kullanımı gibi paradigma değişimlerini ve gelişen şebekeye uygun en son ve yeni teknolojileri entegre ederek yakın ve uzun vadeli güvenilirlik riski sorunlarını ele alacaktır.

NERC, OT'ye özgü siber güvenlik risk senaryolarının oluşturulması da dahil olmak üzere genel 'düşük' skorlara yönelik güvenlik yönergeleri oluşturmak için iş ortaklarıyla birlikte çalışacaktır.

Ek olarak, potansiyel risk alanlarının değerlendirmelerini üstlenmek ve BPS'nin bu alanında daha iyi güvenlik prosedürlerine yardımcı olacak yönergeler oluşturmak için NERC, endüstri ortaklarıyla iş birliği yapıyor. Girişim, ABD Enerji Bakanlığı, Idaho Ulusal Laboratuvarı (INL), Elektrik Enerjisi Araştırma Enstitüsü (EPRI) ve diğerleri gibi endüstri ortaklarıyla birlikte çalışarak mühendisler, güvenlik uzmanları ve endüstri liderliği arasında hedeflenen iş birliği yoluyla güvenlik kültürünü teşvik etmeyi amaçlıyor. Ayrıca, en iyi güvenlik uygulamalarının benimsenmesini sağlamayı, standartlar ve gereksinimlerdeki boşlukları belirlemeyi ve ele almayı da amaçlıyor.

Bu girişimleri desteklemek için NERC ve Elektrik-Bilgi Paylaşımı ve Analiz Merkezi, çeşitli paydaşlarla iş birliği yapmaya devam ediyor. Ek olarak, Güvenilirlik ve Güvenlik Teknik Komitesi, yani Güvenlik Entegrasyonu ve Teknoloji Etkinleştirme Alt Komitesi (SITES), Güvenlik Çalışma Grubu ve diğerleri aracılığıyla, sektör üyelerinin katılımına ve iş birliğine bağlı ve koordinasyon içerisinde olacaktır.

Gruplar kendi içlerinde, bu stratejinin bileşenlerinin oluşturulmasına ve uygulanmasına yardımcı olacak belirli iş kalemleri sağlayabilirler. Siber ve fiziksel güvenliğin BPS içinde daha eksiksiz bir entegrasyona ilerlemek için çaba gösterecek, ayrıca bu çaba endüstri tavsiye belgelerini, teknik incelemeleri, teknik değerlendirmeleri ve raporları ve belki de (gerekirse) gelecekteki standart yetkilendirme taleplerini de içerecektir.

NERC'in temmuz ayında yayınlanan 2022 Güvenilirlik Durumu raporunda, bağlantılı sistemin sağlığı ve güvenilirlik riskinin azaltımına önlemlerin etkinliği vurgulanmıştır. NERC raporunun bulgularına göre elektrik endüstrisi, 2023'de, öncelikle jeopolitik gelişmeler, yeni güvenlik açıkları, teknolojik ilerlemeler ve giderek artan değişik profillerde siber suçlular ve bilgisayar korsanları tarafından yönlendirilecek olan siber güvenlik tehdidi manzarasından kaynaklanan önemli zorluklarla karşı karşıya kalacak.

 

Kaynak: https://industrialcyber.co/utilities-energy-power-water-waste/nerc-security-integration-strategy-set-to-integrate-cyber-and-physical-security-into-grid-planning-design-operation/?utm_campaign=meetedgar&utm_medium=social&utm_source=meetedgar.com