Verbetering van de beveiliging van het elektriciteitsnet: voldoen aan NERC CIP-vereisten met Bitwarden

De North American Electric Reliability Corporation (NERC) is een internationale regelgevende non-profitorganisatie die zich richt op het vaststellen van nalevingsnormen die helpen risico’s voor het elektriciteitsnet en de energiesystemen te beperken voor honderden miljoenen mensen in de Verenigde Staten, Canada en een deel van Mexico.

De NERC-Critical Infrastructure Protection (CIP)-vereisten beschrijven waarom een cybersecurityraamwerk dat is ontworpen om kritieke assets te beschermen en te beveiligen essentieel is voor de betrouwbare en effectieve levering van elektriciteit via het bulk electric system (BES) van Noord-Amerika. Deze normen worden als regelgeving gehandhaafd en zijn daarmee wettelijk verplicht.

De Federal Energy Regulatory Commission (FERC) speelt een cruciale rol bij het handhaven van deze NERC CIP-normen om de veiligheid en betrouwbaarheid van het elektriciteitsnet te verbeteren, met name na grote stroomstoringen in het verleden.

NERC wees op een toename van cyberdreigingen tegen Noord-Amerikaanse elektriciteitsnetten en stelde in een webcast dat de “virtuele en fysieke zwakke plekken van de netten, oftewel punten in software of hardware die vatbaar zijn voor cybercriminelen, toenamen tot een bereik van 23.000 tot 24.000.”

Dit artikel gaat dieper in op de aard van de toenemende dreigingen voor het elektriciteitsnet. Het onderzoekt ook hoe wachtwoordbeheer op ondernemingsniveau de beveiligingsweerbaarheid voor de energiesector vergroot, wachtwoordbeveiliging versterkt en toegangscontroles waarborgt die interne en externe dreigingen beperken in overeenstemming met NERC CIP-normen.

Het elektriciteitsnet is een cruciaal onderdeel van economische groei en beïnvloedt zowel infrastructuur als nationale veiligheid. Simpel gezegd: zonder een functionerend bulk power system zou de samenleving tot stilstand komen. Dit maakt het ook een uitzonderlijk aantrekkelijk doelwit voor cybercriminelen. 

Een recente bevinding van de Government Accountability Office (GAO) laat zien dat de uitdagingen bij het beveiligen van operationele technologie in de energiesector toenemen, met de opmerking: 

“Er zijn verschillende kwetsbare punten in het systeem van elektriciteitsnetten in de VS. Zo zijn distributiesystemen voor het elektriciteitsnet — die elektriciteit van transmissiesystemen naar consumenten brengen — kwetsbaarder geworden, deels doordat hun operationele technologie steeds vaker externe toegang en verbindingen met bedrijfsnetwerken mogelijk maakt. Hierdoor zouden dreigingsactoren toegang kunnen krijgen tot die systemen en mogelijk de bedrijfsvoering kunnen verstoren.

Landen en criminele groeperingen vormen de grootste cyberdreigingen voor kritieke infrastructuur in de VS, volgens de Annual Threat Assessment 2022 van de Director of National Intelligence. Deze dreigingsactoren zijn steeds beter in staat het net aan te vallen.”

Recente aanvallen op het elektriciteitsnet maken misbruik van fysieke kwetsbaarheden en cybersecuritykwetsbaarheden. NERC verwees naar cyberdreigingen als “moeilijker rechtstreeks te kwantificeren.” Zoals hierboven opgemerkt, zijn beveiligingszwakheden in het elektriciteitssysteem toegenomen, wat leidt tot gemiddeld 60 extra cyberaanvallen per dag.

Er zijn 13 NERC CIP-vereisten die relevant zijn voor elektriciteitsnetbedrijven:

• Categorisering van BES-cybersystemen: Vereist dat organisaties assets identificeren die bij een cyberaanval het bredere BES in gevaar kunnen brengen, en dat zij die assets dienovereenkomstig categoriseren en beveiligen. Dit omvat het identificeren en beveiligen van 'BES-cyberassets' en 'kritieke cyberassets' om de betrouwbare werking van het BES te waarborgen.

• Beheermaatregelen voor beveiliging: Organisaties moeten beheermaatregelen voor beveiliging implementeren, zoals het trainen van personeel en het melden van beveiligingsincidenten, die BES-cybersystemen beschermen tegen compromittering.

• Personeel en training: Personen die toegang hebben tot BES-cybersystemen moeten een risicobeoordeling krijgen en worden getraind in beveiligingsbewustzijn. 

• Elektronische beveiligingsperimeters: Organisaties moeten elektronische beveiligingsperimeters (ESP’s) definiëren en vervolgens beschermen om BES-assets te beveiligen.

• Fysieke beveiliging van BES-cybersystemen: Teams moeten een fysiek beveiligingsplan hebben om BES-cybersystemen te beschermen tegen compromittering.

• Systeembeveiligingsbeheer: Deze norm specificeert de technische, operationele en procedurele vereisten die nodig zijn om de BES-cyberinfrastructuur te beschermen, zoals het monitoren op en verwijderen van schadelijke code en het wijzigen van bekende standaardwachtwoorden.

• Incidentrapportage en planning van incidentrespons: Beschrijft vereisten voor incidentrespons, zoals hoe vaak documentatie moet worden opgesteld en hoelang bewijsmateriaal van incidenten moet worden bewaard.

• Herstelplannen voor BES-cybersystemen: Behandelt vereisten voor herstelplannen ter ondersteuning van de voortdurende stabiliteit van het BES bij een incident.

• Configuratiewijzigingsbeheer en kwetsbaarheden: Om ongeautoriseerde wijzigingen in BES-cybersystemen te voorkomen en te detecteren, moeten organisaties de specificaties volgen voor wanneer en hoe configuraties moeten worden ingesteld.

• Informatiebeveiliging: Bedrijven moeten informatie die cruciaal is voor de werking van het BES beschermen tijdens opslag, gebruik en overdracht.

• Communicatie tussen controlecentra: Gegevens die tussen controlecentra worden verzonden, moeten te allen tijde worden beschermd.

• Risicobeheer in de toeleveringsketen: Organisaties moeten beveiligingsmaatregelen implementeren om risico's in de toeleveringsketen te beperken.

• Fysieke beveiliging: Organisaties moeten een plan invoeren om hun fysieke locaties en onderstations te beschermen tegen fysieke aanvallen.

De NERC CIP-compliancechecklist is behoorlijk uitgebreid. Als we ons hier richten op aanbevelingen voor wachtwoordbeveiliging, raden de richtlijnen organisaties aan om:

• Trek toegang tot gedeelde accounts in om te voorkomen dat wachtwoorden op onderstation- en opwekkingsapparaten voortdurend moeten worden gewijzigd vanwege personeelsverloop.

• Gebruik een wachtwoordbeheerder om te zorgen voor sterke en unieke wachtwoorden voor accounts, om het risico op succesvolle password-spraying- of credential-stuffing-aanvallen te helpen beperken, en om onveilig of onbedoeld delen van wachtwoorden met onbevoegde personen tot een minimum te beperken.

• Implementeer multifactorauthenticatie om de beveiliging verder te versterken.

• Voorkom online wachtwoordaanvallen door het aantal pogingen dat een aanvaller kan doen te beperken.

Een succesvolle cyberaanval op een elektriciteitsnet kan de bedrijfsvoering en kritieke stroomvoorziening volledig stilleggen. Gelukkig vormt NERC CIP-compliancesoftware, zoals Bitwarden, de eerste verdedigingslinie tegen cybercriminelen. Door energieleveranciers in staat te stellen sterke en unieke wachtwoorden te genereren en beheren, vermindert Bitwarden hun kwetsbaarheid voor wachtwoordgerelateerde inbreuken. Andere belangrijke voordelen zijn:

• Rolgebaseerde toegangscontroles waarmee beheerders gedetailleerde machtigingen kunnen instellen en toewijzen, en kunnen bepalen wie toegang heeft tot bepaalde functies. Door gebruikerstoegang te beperken op basis van noodzaak, behouden elektriciteitsnetorganisaties controle over gevoelige systemen.

• Een end-to-end versleutelde kluis die niet alleen wachtwoorden beschermt, maar ook bedrijfskaarten en andere persoonlijk identificeerbare informatie (PII).

• Mogelijkheden voor multifactorauthenticatie bieden organisaties een tweede authenticatielaag om brute-force-aanvallen of interne dreigingen af te schrikken.

• Mogelijkheden voor het delen van wachtwoorden stellen teams en afdelingen in staat om complexe wachtwoorden en andere gevoelige gegevens veilig te genereren, beheren en delen vanaf elke locatie of elk apparaat.

• Naadloze en flexibele integratieopties omvatten Single Sign-On (SSO) met identiteitsproviders en directoryservices (waaronder SCIM).

• Eenvoudige onboarding met een gecentraliseerde beheerdersconsole waarin ondernemingsbeleid kan worden ingeschakeld en gebruikers automatisch worden geprovisioneerd.

• Platformonafhankelijke toegang met een onbeperkt aantal apparaten.

• Kwetsbaarheidsrapporten die zwakke of hergebruikte wachtwoorden aan het licht brengen, plus gedetailleerde gebeurtenislogboeken om de toegang van gebruikers en groepen tot gevoelige gegevens te monitoren met audittrails.

• Regelmatige beveiligingsaudits door derden, cryptografische analyses en penetratietests van Bitwarden om te waarborgen dat de wachtwoordbeheerder voldoet aan de hoogste beveiligingsnormen.

Omdat het bulk-elektriciteitssysteem de economie aandrijft, invloed heeft op de nationale veiligheid en het dagelijks leven voortstuwt, is het van vitaal belang dat inloggegevens die door energieleveranciers worden gebruikt, goed beschermd blijven met sterke en unieke wachtwoorden. Het implementeren van een bedrijfsbrede wachtwoordbeheerder zal ook van groot voordeel zijn voor organisaties die moeten voldoen aan strenge en juridisch bindende NERC CIP-vereisten.

Als u de zakelijke functies en mogelijkheden van Bitwarden wilt ontdekken, start dan vandaag nog een gratis proefperiode.