由于该国的电网经历了转型并朝着更智能的网络,自动化系统移动,因此它面临着越来越大的网络安全问题。
政府问责办公室的看门狗今天在增加使用时表示智能电网系统可能具有许多益处,“包括从较少且更短的中断,由于移位峰值需求的能力,电力率向下压力,从诸如风的替代能源传输功率的提高能力以及提高能力检测和响应对网格上的潜在攻击,“许多挑战仍然存在。
有更多的:U.S.返回10个智能电网项目,以3400万美元批量增加网络安全
从其报告中,高位确定了以下六项挑战,这些挑战是确保国家电网的网络安全的关键。
• 缺乏信息:消费者没有充分了解与智能电网系统相关的福利,成本和风险。具体地,担心消费者不了解与智能电网系统相关的好处,成本和风险。这种缺乏意识可能会限制消费者愿意支付安全可靠系统的程度,这可能导致监管机构不愿批准与网络安全相关的汇率增加。因此,直到消费者更了解智能电网系统的福利,成本和风险,公用事业公司可能不会投资或获得智能电网系统的全面安全性,这可能会增加攻击的成功风险。
•缺乏焦点:公用事业专注于监管合规而不是全面的安全性。现有的联邦和州监管环境在公用事业行业内创造了一种文化,重点遵守网络安全要求,而不是专注于实现全面和有效的网络安全的文化。具体而言,专家告诉高公用事业专注于实现最低监管要求,而不是设计全面的系统安全方法。此外,一位专家表示,安全要求本质上是不完整的,并且具有在满足这些要求的要求下认为安全问题的文化将使一个易受网络攻击攻击的组织。因此,没有综合安全的安全方法,公用事业将自己留给不必要的风险。
•缺乏安全功能:智能电网系统中内置了缺乏安全功能。安全功能不一致内置于智能电网设备中。例如,我们的专家告诉我们,某些目前可用的智能电表尚未设计具有强大的安全架构,并且缺乏重要的安全功能,包括检测和分析攻击所需的事件记录和取证功能。此外,高声称智能电网家庭区域网络 - 用于管理家用电器和其他设备的电力用途 - 没有内置的充足的安全性,从而增加了他们攻击的脆弱性。如果没有牢固设计的智能电网系统,公用设施将有可能无法检测和分析攻击的风险,这增加了攻击将成功的风险,而且公用事业将无法阻止他们重复。
• 信息共享:该电力产业没有有效的机制,用于分享有关网络安全和其他问题的信息。电力行业缺乏有效的机制,透露有关智能电网网络安全漏洞,事件,威胁,教训所吸引和业内最佳实践的信息。例如,高声称,虽然电力行业有一个信息共享中心,但它并没有完全解决这些信息需求。
根据高,必须能够以安全和安全的方式分享诸如不成功和成功袭击事件的事件的信息,以避免公开揭示报告的组织和积极参与纠正措施的惩罚实体。在整个行业中共享的这些信息可以提供有关尝试网络攻击水平及其方法的重要信息,可以帮助电网运营商更好地防御它们。如果该行业追求此目的,它可以在设计行业LED方法对网络安全信息共享时,借鉴其他行业的实践和方法。没有质量流程的信息共享,公用事业公司将无需充分保护其资产侵害攻击者所需的信息。
•衡量成功?:电力行业没有评估网络安全的指标。电力行业也因缺乏网络安全指标而挑战,使得难以衡量对网络安全的投资改善智能电网系统安全的程度。高级指出,虽然这种指标难以发展,但它们可以帮助比较竞争解决方案的有效性,并确定解决方案组合的混合组合以制造最安全的系统。此外,我们的专家表示,通过帮助展示特定投资的回报,有指标将有助于公用事业为网络安全制定业务案例。在制定这种指标之前,有可能以成本效益的方式投入安全性的风险增加,或者有需要对其网络安全投资做出明智的决定所需的信息。
•监管问题:目前的监管环境的各个方面使得难以确保智能电网系统的网络安全。特别是,管辖问题和与响应不断发展的网络威胁的困难是一个关键的监管挑战,以确保智能电网系统的网络安全。关于管辖权,专家表示关切的是,联邦和州监管机构之间的责任缺乏清晰,特别是关于网络安全。虽然司法管辖权在历史上通过技术在传输或分配系统上确定,但专家们提出了智能电网技术可能会模糊这些线路的担忧。例如,诸如智能仪表之类的设备在传统上,在集合中,传统上待州管辖区的部分可能会对联邦调节器负责的网格的那些部分产生影响 - 即传输系统的可靠性。
监管机构对不断发展的网络安全威胁的能力也有担忧。例如,一个专家质疑政府机构适应迅速不断发展的威胁的能力,而另一种突显了有必要应对不断发展的网络安全问题的条例。此外,我们的专家表示关切的是在其要求中的未来制定规定的机构表示关切,例如指明使用特定产品或技术的使用。因此,除非采取措施减轻这些挑战,否则法规可能无法完全有效地保护智能电网技术免受网络安全威胁的影响。
关注Michael Cooney推特:nwwlayer8.