Panoramica
La North American Electric Reliability Corporation (NERC) è un organismo internazionale di regolamentazione senza scopo di lucro dedicato alla definizione di standard di conformità che contribuiscono a ridurre i rischi per la rete elettrica e i sistemi di alimentazione che servono centinaia di milioni di persone negli Stati Uniti, in Canada e in parte del Messico.
I requisiti Critical Infrastructure Protection (CIP) della NERC spiegano perché un framework di cybersicurezza progettato per proteggere e mettere in sicurezza gli asset critici sia essenziale per un'erogazione affidabile ed efficace dell'elettricità nel sistema elettrico bulk (BES) del Nord America. Questi standard sono applicati come regolamenti, diventando quindi un obbligo legale.
La Federal Energy Regulatory Commission (FERC) svolge un ruolo cruciale nell'applicazione di questi standard NERC CIP per migliorare la sicurezza e l'affidabilità della rete elettrica, in particolare dopo blackout storici di grande portata.
La NERC ha segnalato un aumento delle minacce informatiche contro le reti elettriche nordamericane, dichiarando in un webcast che i “punti deboli virtuali e fisici delle reti, ovvero punti nel software o nell'hardware vulnerabili ai criminali informatici, sono cresciuti fino a raggiungere una fascia compresa tra 23.000 e 24.000”.
Questo articolo approfondisce la natura delle minacce in aumento contro la rete elettrica. Esamina inoltre in che modo la gestione delle password di livello enterprise migliori la resilienza della sicurezza per il settore energetico, rafforzi la sicurezza delle password e garantisca controlli degli accessi che limitano le minacce interne ed esterne in conformità agli standard NERC CIP.
La rete elettrica come vettore di attacco
La rete elettrica è una componente critica della crescita economica, con effetti sia sull'infrastruttura sia sulla sicurezza nazionale. In parole semplici, senza un sistema elettrico bulk funzionante, la società si fermerebbe. Questo la rende anche un obiettivo estremamente attraente per i criminali informatici.
Un recente riscontro del Government Accountability Office (GAO) evidenzia le crescenti sfide legate alla protezione della tecnologia operativa nel settore energetico, osservando:
“Nel sistema delle reti elettriche degli Stati Uniti esistono diversi punti di vulnerabilità. Ad esempio, i sistemi di distribuzione della rete, che trasportano l'elettricità dai sistemi di trasmissione ai consumatori, sono diventati più vulnerabili, in parte perché la loro tecnologia operativa consente sempre più spesso l'accesso remoto e le connessioni alle reti aziendali. Ciò potrebbe consentire agli attori delle minacce di accedere a tali sistemi e potenzialmente interrompere le operazioni.
Secondo la Valutazione annuale delle minacce 2022 del Director of National Intelligence, nazioni e gruppi criminali rappresentano le minacce informatiche più significative per le infrastrutture critiche degli Stati Uniti. Questi attori delle minacce sono sempre più capaci di attaccare la rete.”
Gli attacchi recenti contro la rete elettrica sfruttano vulnerabilità fisiche e di cybersicurezza. La NERC ha definito le minacce informatiche “più difficili da quantificare direttamente”. Come osservato sopra, le debolezze di sicurezza nel sistema elettrico sono aumentate, portando a una media di 60 attacchi informatici aggiuntivi al giorno.
Analisi degli standard NERC CIP per la protezione delle infrastrutture critiche
Esistono 13 requisiti NERC CIP rilevanti per le aziende della rete elettrica:
Categorizzazione dei sistemi informatici BES: richiede alle organizzazioni di identificare gli asset che, in caso di attacco informatico, potrebbero compromettere il BES più ampio e di categorizzare e proteggere tali asset di conseguenza. Ciò include l'identificazione e la protezione degli “asset informatici BES” e degli “asset informatici critici” per garantire il funzionamento affidabile del BES.
Controlli di gestione della sicurezza: le organizzazioni devono implementare controlli di gestione della sicurezza, come la formazione del personale e la segnalazione degli incidenti di sicurezza, che proteggano i sistemi informatici BES dalle compromissioni.
Personale e formazione: le persone che accedono ai sistemi informatici BES devono essere sottoposte a una valutazione del rischio e formate sulla consapevolezza della sicurezza.
Perimetri di sicurezza elettronica: le organizzazioni devono definire e quindi proteggere i perimetri di sicurezza elettronica (ESP) che proteggono gli asset BES.
Sicurezza fisica dei sistemi informatici BES: i team devono disporre di un piano di sicurezza fisica per proteggere i sistemi informatici BES dalle compromissioni.
Gestione della sicurezza dei sistemi: questo standard specifica i requisiti tecnici, operativi e procedurali necessari per proteggere l'infrastruttura informatica BES, ad esempio il monitoraggio e la rimozione di codice dannoso e la modifica delle password predefinite note.
Segnalazione degli incidenti e pianificazione della risposta: descrive i requisiti di risposta agli incidenti, ad esempio con quale frequenza documentare e per quanto tempo conservare le prove degli incidenti.
Piani di ripristino per i sistemi informatici BES: affronta i requisiti dei piani di ripristino per supportare la stabilità continuativa del BES in caso di incidente.
Gestione delle modifiche di configurazione e vulnerabilità: per prevenire e rilevare modifiche non autorizzate ai sistemi informatici BES, le organizzazioni devono seguire le specifiche su quando e come impostare le configurazioni.
Protezione delle informazioni: Le aziende devono proteggere le informazioni critiche per il funzionamento del BES durante l'archiviazione, l'uso e il transito.
Comunicazioni tra centri di controllo: I dati trasmessi tra centri di controllo devono essere sempre protetti.
Gestione del rischio della supply chain: Le organizzazioni devono implementare controlli di sicurezza per mitigare il rischio della supply chain.
Sicurezza fisica: Le organizzazioni devono adottare un piano per proteggere le proprie sedi fisiche e sottostazioni dagli attacchi fisici.
La checklist di conformità NERC CIP è piuttosto estesa. Concentrandosi qui sulle raccomandazioni per la sicurezza delle password, le linee guida consigliano alle organizzazioni di:
Revocare l'accesso agli account condivisi per evitare situazioni in cui le password sui dispositivi di sottostazione e generazione vengano modificate continuamente a causa del turnover del personale.
Utilizzare un password manager per garantire password robuste e univoche per gli account, contribuendo a mitigare il rischio di attacchi riusciti di password spraying o credential stuffing, nonché a ridurre al minimo la condivisione di password non sicura o accidentale con persone non autorizzate.
Implementare l'autenticazione a più fattori per rafforzare ulteriormente la sicurezza.
Prevenire gli attacchi online alle password limitando il numero di tentativi che un malintenzionato può effettuare.
Perché Bitwarden è la migliore soluzione per le password per il Bulk Electric System
Un attacco informatico riuscito contro una rete elettrica potrebbe bloccare le operazioni e l'approvvigionamento energetico critico. Fortunatamente, un software per la conformità NERC CIP, come Bitwarden, rappresenta la prima linea di difesa contro i criminali informatici. Consentendo ai fornitori di energia di generare e gestire password robuste e univoche, Bitwarden riduce la loro vulnerabilità alle violazioni legate alle password. Altri vantaggi chiave includono:
Controlli di accesso basati sui ruoli che consentono agli amministratori di personalizzare e assegnare autorizzazioni granulari, nonché di controllare chi ha accesso a determinate funzioni. Limitando l'accesso degli utenti in base alla necessità, le organizzazioni della rete elettrica mantengono il controllo sui sistemi sensibili.
Un vault crittografato end-to-end che protegge non solo le password, ma anche le carte aziendali e altre informazioni di identificazione personale (PII).
Funzionalità di autenticazione a più fattori che offrono alle organizzazioni un secondo livello di autenticazione per scoraggiare attacchi brute-force o minacce interne.
Funzionalità di condivisione delle password che consentono a team e reparti di generare, gestire e condividere in modo sicuro password complesse e altri dati sensibili da qualsiasi luogo o dispositivo.
Opzioni di integrazione fluide e flessibili che includono il Single Sign-On (SSO) con provider di identità e servizi di directory (incluso SCIM).
Onboarding semplice con una console di amministrazione centralizzata in cui è possibile abilitare le policy aziendali e gli utenti vengono sottoposti a provisioning automatico.
Accesso multipiattaforma con un numero illimitato di dispositivi.
Report sulle vulnerabilità che evidenziano password deboli o riutilizzate e registri eventi dettagliati per monitorare l'accesso di utenti e gruppi ai dati sensibili con audit trail.
Regolari audit di sicurezza di terze parti, analisi crittografiche e penetration test di Bitwarden per garantire che il password manager rispetti i più elevati standard di sicurezza.
Poiché il Bulk Electric System alimenta l'economia, incide sulla sicurezza nazionale e sostiene la vita quotidiana, è di vitale importanza che le credenziali utilizzate dai fornitori di energia rimangano altamente protette con password robuste e univoche. L'implementazione di un password manager a livello aziendale porterà inoltre grandi vantaggi alle organizzazioni che devono soddisfare i rigorosi requisiti NERC CIP, legalmente vincolanti.
Inizia con Bitwarden
Per esplorare le funzionalità e le capacità di Bitwarden per le aziende, inizia con una prova gratuita oggi stesso.