Aprimorando a segurança da rede elétrica: atendendo aos requisitos NERC CIP com o Bitwarden

A North American Electric Reliability Corporation (NERC) é um órgão regulador internacional sem fins lucrativos dedicado a definir padrões de conformidade que ajudam a reduzir os riscos à rede elétrica e aos sistemas de energia que atendem centenas de milhões de pessoas nos Estados Unidos, no Canadá e em parte do México.

Os requisitos de Proteção de Infraestrutura Crítica (CIP) da NERC explicam por que uma estrutura de cibersegurança projetada para proteger e resguardar ativos críticos é vital para o fornecimento confiável e eficaz de eletricidade em todo o sistema elétrico de grande porte (BES) da América do Norte. Esses padrões são aplicados como regulamentos, tornando-os uma exigência legal.

A Federal Energy Regulatory Commission (FERC) desempenha um papel crucial na aplicação desses padrões NERC CIP para aumentar a segurança e a confiabilidade da rede elétrica, especialmente após grandes apagões ao longo da história.

A NERC citou um aumento nas ameaças cibernéticas contra as redes elétricas norte-americanas, afirmando em uma transmissão pela web que os “pontos fracos virtuais e físicos das redes, ou pontos em software ou hardware suscetíveis a cibercriminosos, aumentaram para uma faixa de 23.000 a 24.000”.

Este artigo detalha a natureza das ameaças crescentes à rede elétrica. Ele também explora como o gerenciamento de senhas de nível empresarial aumenta a resiliência da segurança no setor de energia, fortalece a segurança de senhas e garante controles de acesso que limitam ameaças internas e externas em conformidade com os padrões NERC CIP.

A rede elétrica é um componente crítico do crescimento econômico, afetando tanto a infraestrutura quanto a segurança nacional. Em termos simples, sem um sistema elétrico de grande porte em funcionamento, a sociedade pararia. Isso também a torna um alvo excepcionalmente atraente para cibercriminosos. 

Uma constatação recente do Government Accountability Office (GAO) revela os desafios crescentes para proteger a tecnologia operacional no setor de energia, observando que: 

“Há vários pontos de vulnerabilidade no sistema de redes elétricas dos EUA. Por exemplo, os sistemas de distribuição da rede — que transportam eletricidade dos sistemas de transmissão aos consumidores — tornaram-se mais vulneráveis, em parte porque sua tecnologia operacional permite cada vez mais acesso remoto e conexões a redes corporativas. Isso poderia permitir que agentes de ameaça acessassem esses sistemas e potencialmente interrompessem as operações.

Nações e grupos criminosos representam as ameaças cibernéticas mais significativas à infraestrutura crítica dos EUA, de acordo com a Avaliação Anual de Ameaças de 2022 do Diretor de Inteligência Nacional. Esses agentes de ameaça estão cada vez mais capazes de atacar a rede elétrica.”

Ataques recentes contra a rede elétrica exploram vulnerabilidades físicas e de cibersegurança. A NERC se referiu às ameaças cibernéticas como “mais difíceis de quantificar diretamente”. Como observado acima, as fragilidades de segurança no sistema elétrico aumentaram, resultando em uma média de 60 ataques cibernéticos adicionais por dia.

Há 13 requisitos NERC CIP relevantes para empresas de redes elétricas:

• Categorização de sistemas cibernéticos BES: exige que as organizações identifiquem ativos que poderiam comprometer o BES mais amplo em caso de ataque cibernético e que categorizem e protejam esses ativos de acordo. Isso inclui identificar e proteger “ativos cibernéticos BES” e “ativos cibernéticos críticos” para garantir a operação confiável do BES.

• Controles de gerenciamento de segurança: as organizações devem implementar controles de gerenciamento de segurança, como treinamento de pessoal e comunicação de incidentes de segurança, que protejam os sistemas cibernéticos BES contra comprometimento.

• Pessoal e treinamento: indivíduos que acessam sistemas cibernéticos BES devem passar por uma avaliação de risco e receber treinamento de conscientização em segurança. 

• Perímetros de segurança eletrônica: as organizações devem definir e, em seguida, proteger perímetros de segurança eletrônica (ESPs) que protejam os ativos BES.

• Segurança física dos sistemas cibernéticos BES: as equipes devem ter um plano de segurança física para proteger os sistemas cibernéticos BES contra comprometimento.

• Gerenciamento de segurança de sistemas: este padrão especifica os requisitos técnicos, operacionais e procedimentais necessários para proteger a ciberinfraestrutura do BES, como monitorar e remover códigos maliciosos e alterar senhas padrão conhecidas.

• Relato de incidentes e planejamento de resposta: descreve os requisitos de resposta a incidentes, como a frequência com que documentar e por quanto tempo reter evidências de incidentes.

• Planos de recuperação para sistemas cibernéticos BES: aborda os requisitos de planos de recuperação para apoiar a estabilidade contínua do BES em caso de incidente.

• Gerenciamento de alterações de configuração e vulnerabilidades: para prevenir e detectar alterações não autorizadas em sistemas cibernéticos BES, as organizações devem seguir as especificações sobre quando e como definir configurações.

• Proteção de informações: As empresas devem proteger as informações críticas para a operação do BES durante o armazenamento, o uso e o trânsito.

• Comunicações entre centros de controle: Os dados transmitidos entre centros de controle devem ser protegidos o tempo todo.

• Gerenciamento de riscos da cadeia de suprimentos: As organizações devem implementar controles de segurança para mitigar riscos da cadeia de suprimentos.

• Segurança física: As organizações devem implementar um plano para proteger suas instalações físicas e subestações contra ataques físicos.

A lista de verificação de conformidade com a NERC CIP é bastante extensa. Com foco aqui nas recomendações de segurança de senhas, as diretrizes recomendam que as organizações:

• Revoguem o acesso a contas compartilhadas para evitar uma situação em que as senhas em dispositivos de subestações e geração sejam alteradas constantemente devido à rotatividade de funcionários.

• Usem um gerenciador de senhas para garantir senhas fortes e exclusivas nas contas, ajudando a mitigar o risco de ataques bem-sucedidos de pulverização de senhas ou preenchimento de credenciais, além de minimizar o compartilhamento de senhas inseguro ou acidental com pessoas não autorizadas.

• Implementem a autenticação multifator para reforçar ainda mais a segurança.

• Evitem ataques de senha online limitando o número de tentativas que um invasor pode fazer.

Um ataque cibernético contra um sistema de rede elétrica poderia paralisar operações e o fornecimento crítico de energia. Felizmente, softwares de conformidade com a NERC CIP, como o Bitwarden, são a primeira linha de defesa contra cibercriminosos. Ao permitir que fornecedores de energia gerem e gerenciem senhas fortes e exclusivas, o Bitwarden reduz sua vulnerabilidade a violações relacionadas a senhas. Outros benefícios importantes incluem:

• Controles de acesso baseados em função que permitem aos administradores personalizar e conceder permissões granulares, bem como controlar quem tem acesso a determinadas funções. Ao limitar o acesso dos usuários com base na necessidade, as organizações de redes elétricas mantêm o controle sobre sistemas sensíveis.

• Um cofre criptografado de ponta a ponta que protege não apenas senhas, mas também cartões corporativos e outras informações de identificação pessoal (PII).

• Recursos de autenticação multifator oferecem às organizações uma segunda camada de autenticação para impedir ataques de força bruta ou ameaças internas.

• Recursos de compartilhamento de senhas permitem que equipes e departamentos gerem, gerenciem e compartilhem com segurança senhas complexas e outros dados sensíveis de qualquer local ou dispositivo.

• Opções de integração fluidas e flexíveis incluem logon único (SSO) com provedores de identidade e serviços de diretório (incluindo SCIM).

• Onboarding simplificado com um console de administração centralizado, no qual políticas corporativas podem ser habilitadas e usuários são provisionados automaticamente.

• Acesso multiplataforma com um número ilimitado de dispositivos.

• Relatórios de vulnerabilidade que revelam senhas fracas ou reutilizadas e registros de eventos detalhados para monitorar o acesso de usuários e grupos a dados sensíveis com trilhas de auditoria.

• Auditorias regulares de segurança feitas por terceiros, análise criptográfica e testes de penetração do Bitwarden para garantir que o gerenciador de senhas mantenha os mais altos padrões de segurança.

Como o sistema elétrico de grande porte sustenta a economia, impacta a segurança nacional e impulsiona a vida cotidiana, é vital que as credenciais usadas por fornecedores de energia permaneçam altamente protegidas com senhas fortes e exclusivas. A implementação de um gerenciador de senhas em toda a empresa também trará grandes benefícios para organizações que precisam atender aos requisitos rigorosos e juridicamente vinculantes da NERC CIP.

Para explorar os recursos e capacidades empresariais do Bitwarden, comece com uma avaliação gratuita hoje mesmo.