电力工业控制系统网络安全的持续差距

当我们在2000年开始这个项目时，除了“电子邮件问题”，人们对网络安全知之甚少。变电站和发电厂社区对网络安全的重视程度过去和现在都很低。此外，网络安全政策制定者(包括NERC CIP流程)假定控制系统只是另一种类型的IT基础设施，因此适用于IT政策、技术、培训和测试方法。这也是为什么当前的焦点大多集中在人机界面(hmis)上，而不是实际的控制系统。在很多情况下，IT安全策略、流程、技术和/或测试影响了控制系统的运行，有时甚至会破坏控制系统。此外，将重点放在hmi上，使得不安全的控制系统设备没有受到网络安全的监控。

NERC CIP流程改变了电力行业网络安全的面貌。NERC CIPs的压倒性积极作用是使管理层注意到网络安全的概念。然而，最终目标从保持照明变成了保持网络可用——这是不一样的。此外，CIPs变成了一个由合规和网络安全专家组成的合规演习，而不是电网和发电厂的专家。这对于保持电网可靠、可用和安全的最终目标具有重要意义。

NERC cip在保护电网方面有几个非常重要的限制:

• 电网和发电厂可靠性和安全性的最关键方面来自于现场控制系统设备，如过程传感器(如压力、液位、流量、温度、电压、电流等)、驱动器、执行器、电源等，然而，这些设备没有网络安全、认证，通常依赖于较低级别、不可路由的协议。不幸的是，这些关键设备和网络超出了NERC CIP遵从的范围。例如，一家公用事业公司将数千个过程传感器连接到他们的公司网络，并从那里连接到互联网。这并不被认为违反了NERC CIP。
• NERC cip假定网络攻击将以快速的方式被识别。然而，沙特阿拉伯一家石化工厂遭受的网络攻击表明，可能不可能检测到能够关闭设施的网络攻击。此外，在北美电力行业中，控制系统网络事件几个月都没有被发现。可能很难将网络事件确定为恶意攻击，因为恶意攻击与无意事件之间的唯一区别可能是参与者的动机。此外，控制系统的网络取证充其量是最少的。
• NERC cip关注的是恶意软件，而不是物理问题。然而，物理问题可以使电网瘫痪数月，而不必使用恶意软件。

这些都不是空谈，因为控制系统的网络影响是真实存在的。迄今为止，实际控制系统发生了1200多起网络事件，造成1500多人死亡，直接损失超过700亿美元。这些影响包括管道破裂、炼油厂爆炸、火车相撞、飞机坠毁和重大停电。具体来说，北美电网已经发生了300多起控制系统网络事件，其中包括5起重大停电事件，每起事件都影响了至少95,000名客户。所有事故都是由控制系统和设备之间的电子通信引起的。

需要:

• 治理变革需要要求工程管理和技术人员与CIO/CISO和IT/OT网络安全人员一起参与控制系统网络安全;
• 认识和解决最危险的控制系统网络攻击是那些操纵物理。这需要工程领域的专业知识来识别和响应这些类型的问题;
• 需要对变电站和工厂工程师进行培训，以识别何时可能与网络有关的异常情况;而且
• 充分解决现场控制系统设备控制系统网络安全政策和程序，包括供应链。