合規與風險
S4x23 資安大會回顧:演進中的能源產業網路資安
本文是 2 月份舉辦的 S4x23 大會回顧系列第 2 篇,內容聚焦在會中引起不少注意的能源產業網路資安。
專題演講:NextEra Energy 網路資安暨技術風險資深總監 Spencer Wilcox
NextEra Energy 是全球領先的乾淨能源公司之一,總部位於美國佛羅里達州,旗下經營了該州最大的電力公司 Florida Power & Light Company (FPL)。其資安長 (CISO) Wilcox 在 S4 大會的專題演講上發表有關電力基礎設施韌性的議題。
2022 年 9 月伊恩颶風 (Hurricane Ian) 橫掃美國佛羅里達州,狂風暴雨以及大量的洪水,對當地造成了嚴重破壞,這場災難性颶風總共持續了 72 小時。
Wilcox 表示,儘管遭遇如此巨大的天災,但由於該公司多年來在風災韌性上的投資,他們僅花了一天的時間就恢復了當地三分之二的電力,而所有客戶也都在八天之後恢復供電。FPL 的發電設施並未遭到嚴重損壞,而且電力輸送系統也未發生故障。
該公司計畫提高對太陽能的依賴,在 2045 年左右達到淨零碳排放,包括利用太陽能來將水轉化成氫氣發電。但由於系統複雜度的增加,勢必也將帶來各種挑戰,包括:新的供應鏈、風險管理、邊緣運算以及雲端。Wilcox 表示他希望 OT 資安先驅們能一起克服這些挑戰。
專訪:Berkshire Hathaway Energy 執行長 Bill Fehrman
Fehrman 是一名在產業及公/私部門網路資安工作相當活躍的領導人。他同時也是電力次領域協調委員會 (Electricity Subsector Coordinating Council,簡稱 ESCC) 的共同主席、國家基礎設施諮詢委員會 (National Infrastructure Advisory Council,簡稱 NIAC) 的會員,並擔任電力資訊分享與分析中心 (Electricity Information Sharing and Analysis Center,簡稱 E-ISAC) 成員執行委員會 (Member Executive Committee) 主席。
Fehrman 表示近年來公私部門的合作已有重大斬獲,例如他本人所領導的百日計畫、經由 E-ISAC 分享資訊、實施網路釣魚測試計畫、舉辦 ICS4ICS 之類的事件回應教育訓練,以及重新設計系統,都讓產業在一個共同防禦的框架下提升了韌性。
然而,供應鏈仍存在著諸多挑戰,例如在變壓器方面,之前我們選擇的是低成本的產品,但現在我們必須以低風險為優先考量。同時,我們也應該解決製造上的連鎖效應問題。
不僅如此,氣候變遷是能源產業最重大的挑戰,這同樣也需要大幅的系統變更與大規模的投資,而這些改變的相關成本將直接轉嫁到消費者身上。
一套可靠的電網是驅動客戶業務的基石,最終也將提升國家的經濟。相信政府對於網路資安投資的獎勵將有助於加速該產業的進步。
由於能源產業的許多資源都是私人所有、私人經營,因此公私部門必須密切合作才能快速解決電力基礎設施的改革。
網路資安的巨大商機與其對小型能源公司的影響
NRECA 首席科學家 Emma Stewart
國家鄉村電力合作協會 (National Rural Electric Cooperative Association,簡稱 NRECA) 是一個非營利電力合作組織,其服務範圍涵蓋美國 56% 的土地、42% 的電力輸送網路以及 12% 的人口。
公私部門合作或許在大型企業方面相當成功,但對於財力與人力資源有限小型企業依然充滿挑戰。
毫無疑問地,百日計畫藉由聚焦 ICS 資安與電網資安、並協調公私部門的單位和機構,讓能源產業的網路資安因而有所進展。然而在小型電力公司之間的資訊分享、量身訂製的解決方案,以及永續計畫方面仍充滿挑戰。
專為大型電力公司設計的創新威脅情報與產品對小型電力公司來說太過昂貴。但是,大型與小型公司的電網卻彼此相連,因此責任互相重疊,所以有必要開發出可永續且大小適中的解決方案給小型電力公司保護其電力輸送網路。
NRECA 從三個角度來開發解決方案。第一是定義出永續性要求,不一定必須進階,但必須是社區導向、負擔得起、而且是可交互運作的解決方案。
第二項要求是支援小型電力公司的決策。應該要鼓勵他們並支援他們改變。第三項要求是提供人力解決方案。65% 的協會成員僅有 2 名 (甚至不到 2 名) IT 人員,因此需要結合人力與自動化的營運模式。
她表示 NRECA 成立了一個威脅分析中心 (Threat Analysis Center,簡稱 TAC) 來解決這項問題。
TAC 是一項工具也是一個社群,讓協會成員專注在真正重要的網路威脅,並具備必要的專業來迅速回應威脅,且在不犧牲隱私的情況下參與更大的威脅情報社群。
參加 TAC 的電力合作協會成員都承諾在他們的作業系統當中安裝一套持續監控平台來快速判斷系統是否出現異常狀況。TAC 會推送「規則」或是簡短的軟體程式給合作協會成員針對新舊駭客手法去測試他們的系統。
NRECA 在收到聯邦政府的緊急或重大威脅資訊時會立即通知電力公司,並在成員測試威脅時提供支援。此外,也會運用成員所提供的資訊來了解威脅的實際擴散情形。
所以,越多成員參與,就有更多雙眼睛在監控電網,進而減輕整體損害。
太陽能網路資安之路
DOE/SETO 約聘技術經理 Marissa Morales-Rodriguez
在美國,太陽能發電預計將在 2035 年達到整體發電量的 40%,到 2050 年達到 45%。太陽能技術辦公室 (Solar Energy Technologies Office,見稱 SETO) 正在努力提升太陽能發電設施及供應鏈的網路資安水平,包括利用分散能源資源 (Distributed Energy Resources,簡稱DER) 讓電力資源多樣化,並運用多種技術。
IEEE、NERC、DoE 以及其他機構的研究與報告都在加強 DER 網路資安漏洞與潛在攻擊情境的相關討論及工作。在這場演講中,她從三方面展示了他們的成果:
評估:
目前愛達荷國家實驗室 (The Idaho National Laboratory) 目前正在推動兩項工作:評估及防範。其中之一就是利用 CISA 所發布的網路資安評估工具 (Cyber Security Evaluation Tool,簡稱 CSET) 來協助可再生能源評估的標準化及重複執行。如此有助於建立持續性風險管理,落實可再生能源 IT 及 OT 資安計畫。第二項工作是資產互動分析 (Asset Interaction Analysis),也就是透過封包擷取裝置來偵測 OT 裝置以及組態設定錯誤。這套名為「Malcolm」的解決方案可提升環境內的資產可視性,進而發掘潛在的風險。
監控:
網路+實體系統 (包括 DER) 需要新網路監控方法。為此,他們啟動了兩項與桑迪亞國家實驗室 (Sandia National Laboratory) 合作的研究計畫,其一是專門為 DER 設計一套新的 SOAR 方法,從多個 IDS 系統彙整資料並攔截攻擊。他們表示在測試環境當中其回應時間可以達到 30 秒內。其二是一套專門為光電產業設計的主動式入侵偵測及防範系統 (Proactive Intrusion Detection and Mitigation System)。這套網路+實體的作法可同時運用電腦網路與實體電力資料來偵測威脅。此外,他們也開發出可安裝在 OT 裝置和 IT 資產上的感測器。
標準化:
最後,她也提了一下有關 DER 的網路資安指南與認證計畫。雖然 IEEE1547.3 正在修訂中,但加州公共設施委員會 (California Public Utilities Commission) 正在透過一個工作小組來制定一些指南。尤其是針對認證系統,因為在眾多相關的認證當中,目前並無任何針對 DER 網路資安的認證。全球安全科學公司 UL Solutions (UL) 以及 NREC 正在根據業界實務來定義一套 DER 的網路資安規範,將 UL 2941 「分散式能源與逆變器式資源的網路資安調查大綱」(Outline of Investigation for Cybersecurity of Distributed Energy and Inverter-Based Resources」加以彙整,目標是要將資安融入設計當中。這套規範將為 DER 提供單一整合的部署前測試及認證方法。她呼籲聽眾應該以 OT 資安專家的身分並基於業界的共識及成效來參與討論。
能源產業不僅是國家基礎設施的核心,同時也因為全球氣候的變遷而正在經歷重大的轉型時期。因此很重要的是公私部門必須密切合作來奠定良好的網路資安基礎。趨勢科技已發表了一篇 技術報告來探討 IT 及 OT 環境的情況並搶先掌握網路資安狀況。
接下來的第 3 篇,我們將探討醫療業在因應 COVID-19 疫情期間所發現的網路資安挑戰。
參考資料:
- FPL 在伊恩颶風期間的迅速回應贏得了業界最高榮耀
- 進度報告:拜登政府的工業控制系統 (ICS) 網路資安計畫與電力次領域行動計畫的 100 天
- 工業控制系統的事件應變指揮系統
- 新的威脅分析中心將提升彼此合作在電網網路資安方面的角色
- 太陽能未來研究:太陽能技術辦公室
- 美國電網分散能源資源 (DER) 網路資安考量
- 網路資安評估工具 (CSET®)
- Malcolm:強大且容易部署的網路流量分析工具套件
- SOAR4DER:分散能源資源 (DER) 的資安協調、自動化與回應
- 2022 年研發百大 (R&D 100) 得主:電網的網路+實體防禦 – PIDMS
- IEEE 標準 1547.3-2007 (修訂中)
- 加州公共設施委員會智慧逆變器工作小組
- UL 與 NREL 發表針對分散能源資源 (DER) 與逆變器式資源的網路資安測試建議