Stärkt säkerhet i elnätet: Uppfyll NERC CIP-kraven med Bitwarden

North American Electric Reliability Corporation (NERC) är ett internationellt icke-vinstdrivande tillsynsorgan som fastställer efterlevnadsstandarder för att minska riskerna för elnätet och de kraftsystem som försörjer hundratals miljoner människor i USA, Kanada och delar av Mexiko.

NERC:s krav för skydd av kritisk infrastruktur (CIP) beskriver varför ett ramverk för cybersäkerhet, utformat för att skydda och säkra kritiska tillgångar, är avgörande för en tillförlitlig och effektiv elleverans i Nordamerikas storskaliga elsystem (BES). Dessa standarder tillämpas som regleringar, vilket gör dem till ett rättsligt krav.

Federal Energy Regulatory Commission (FERC) spelar en avgörande roll i att upprätthålla dessa NERC CIP-standarder för att stärka elnätets säkerhet och tillförlitlighet, särskilt efter betydande historiska strömavbrott.

NERC hänvisade till en ökning av cyberhot mot nordamerikanska elnät och uppgav i en webbsändning att ”nätens virtuella och fysiska svaga punkter, eller punkter i programvara eller hårdvara som är sårbara för cyberbrottslingar, ökade till mellan 23 000 och 24 000.”

Den här artikeln beskriver närmare hur hoten mot elnätet ökar. Den utforskar också hur lösenordshantering i företagsklass stärker energisektorns säkerhetsresiliens, förbättrar lösenordssäkerheten och säkerställer åtkomstkontroller som begränsar interna och externa hot i enlighet med NERC CIP-standarderna.

Elnätet är en kritisk komponent för ekonomisk tillväxt och påverkar både infrastruktur och nationell säkerhet. Enkelt uttryckt skulle samhället stanna av utan ett fungerande storskaligt kraftsystem. Det gör det också till ett särskilt attraktivt mål för cyberbrottslingar. 

En färsk rapport från Government Accountability Office (GAO) visar de växande utmaningarna med att säkra operativ teknik inom energibranschen och konstaterar: 

”Det finns flera sårbara punkter i USA:s system av elnät. Till exempel har eldistributionssystem – som transporterar el från transmissionssystem till konsumenter – blivit mer sårbara, delvis eftersom deras operativa teknik i allt högre grad möjliggör fjärråtkomst och anslutningar till affärsnätverk. Detta kan ge hotaktörer åtkomst till systemen och potentiellt störa driften.

Nationer och kriminella grupper utgör de mest betydande cyberhoten mot USA:s kritiska infrastruktur, enligt Director of National Intelligence’s Annual Threat Assessment 2022. Dessa hotaktörer blir alltmer kapabla att angripa elnätet.”

Nyliga attacker mot elnätet utnyttjar fysiska sårbarheter och cybersäkerhetssårbarheter. NERC beskrev cyberhot som ”svårare att kvantifiera direkt”. Som nämnts ovan har säkerhetsbristerna i kraftsystemet ökat, vilket leder till i genomsnitt 60 ytterligare cyberattacker per dag.

Det finns 13 NERC CIP-krav som är relevanta för elnätsföretag:

• Kategorisering av BES-cybersystem: Kräver att organisationer identifierar tillgångar som skulle kunna äventyra det större BES vid en cyberattack och kategoriserar och säkrar dessa tillgångar därefter. Detta omfattar att identifiera och säkra ”BES-cybertillgångar” och ”kritiska cybertillgångar” för att säkerställa tillförlitlig drift av BES.

• Kontroller för säkerhetshantering: Organisationer måste införa kontroller för säkerhetshantering, såsom att utbilda personal och rapportera säkerhetsincidenter, som skyddar BES-cybersystem mot intrång.

• Personal och utbildning: Personer som har åtkomst till BES-cybersystem måste genomgå en riskbedömning och utbildas i säkerhetsmedvetenhet. 

• Elektroniska säkerhetsperimetrar: Organisationer måste definiera och därefter skydda elektroniska säkerhetsperimetrar (ESP:er) som skyddar BES-tillgångar.

• Fysisk säkerhet för BES-cybersystem: Team måste ha en fysisk säkerhetsplan för att skydda BES-cybersystem mot intrång.

• Hantering av systemsäkerhet: Denna standard anger de tekniska, operativa och processuella krav som krävs för att skydda BES-cyberinfrastruktur, såsom att övervaka och ta bort skadlig kod samt ändra kända standardlösenord.

• Incidentrapportering och planering av incidenthantering: Beskriver krav på incidenthantering, till exempel hur ofta incidenter ska dokumenteras och hur länge bevis från incidenter ska bevaras.

• Återställningsplaner för BES-cybersystem: Behandlar krav på återställningsplaner för att stödja fortsatt stabilitet i BES vid en incident.

• Hantering av konfigurationsändringar och sårbarhet: För att förebygga och upptäcka obehöriga ändringar i BES-cybersystem måste organisationer följa specifikationerna för när och hur konfigurationer ska anges.

• Informationsskydd: Företag måste skydda information som är avgörande för driften av BES under lagring, användning och överföring.

• Kommunikation mellan kontrollcenter: Data som överförs mellan kontrollcenter måste alltid skyddas.

• Riskhantering i leveranskedjan: Organisationer måste införa säkerhetskontroller för att minska risker i leveranskedjan.

• Fysisk säkerhet: Organisationer måste ha en plan för att skydda sina fysiska platser och transformatorstationer mot fysiska attacker.

Checklistan för efterlevnad av NERC CIP är ganska omfattande. Med fokus här på rekommendationer för lösenordssäkerhet rekommenderar riktlinjerna att organisationer:

• Återkallar åtkomst till delade konton för att förhindra en situation där lösenord på transformatorstationer och produktionsenheter ständigt ändras på grund av personalomsättning.

• Använder en lösenordshanterare för att säkerställa starka och unika lösenord för konton, för att bidra till att minska risken för lyckade lösenordsspraynings- eller credential stuffing-attacker samt minimera osäker eller oavsiktlig lösenordsdelning med obehöriga personer.

• Inför multifaktorautentisering för att stärka säkerheten ytterligare.

• Förhindrar lösenordsattacker online genom att begränsa antalet gissningar en angripare kan göra.

En lyckad cyberattack mot ett elnätssystem skulle kunna få verksamheten och den kritiska elförsörjningen att stanna av. Lyckligtvis är programvara för NERC CIP-efterlevnad, som Bitwarden, den första försvarslinjen mot cyberbrottslingar. Genom att göra det möjligt för energileverantörer att skapa och hantera starka och unika lösenord minskar Bitwarden deras sårbarhet för lösenordsrelaterade intrång. Andra viktiga fördelar är:

• Rollbaserade åtkomstkontroller som gör det möjligt för administratörer att anpassa och tilldela granulära behörigheter samt styra vem som har åtkomst till vissa funktioner. Genom att begränsa användaråtkomst utifrån behov behåller elnätsorganisationer kontrollen över känsliga system.

• Ett end-to-end-krypterat valv som skyddar inte bara lösenord utan även företagskort och annan personligt identifierbar information (PII).

• Funktioner för multifaktorautentisering ger organisationer ett andra autentiseringslager som avskräcker brute force-attacker och insiderhot.

• Funktioner för lösenordsdelning gör det möjligt för team och avdelningar att säkert skapa, hantera och dela komplexa lösenord och andra känsliga data från valfri plats eller enhet.

• Smidiga och flexibla integrationsalternativ omfattar enkel inloggning (SSO) med identitetsleverantörer och katalogtjänster (inklusive SCIM).

• Enkel introduktion med en centraliserad administratörskonsol där företagspolicyer kan aktiveras och användare provisioneras automatiskt.

• Åtkomst över flera plattformar med ett obegränsat antal enheter.

• Sårbarhetsrapporter som avslöjar svaga eller återanvända lösenord och detaljerade händelseloggar för att övervaka användar- och gruppåtkomst till känsliga data med verifieringskedjor.

• Regelbundna säkerhetsgranskningar av tredje part, kryptografiska analyser och penetrationstester av Bitwarden för att säkerställa att lösenordshanteraren upprätthåller de högsta säkerhetsstandarderna.

Eftersom storkraftsystemet driver ekonomin, påverkar den nationella säkerheten och möjliggör vardagslivet är det av avgörande betydelse att autentiseringsuppgifter som används av energileverantörer förblir väl skyddade med starka och unika lösenord. Att införa en lösenordshanterare i hela företaget kommer också att vara till stor nytta för organisationer som behöver uppfylla strikta och juridiskt bindande NERC CIP-krav.

För att utforska Bitwardens företagsfunktioner och möjligheter kan du komma igång med en kostnadsfri provperiod idag.