小步骤，大结果:您的实用程序今天可以做什么来提高您的AMI程序的安全性

行业监管机构和组织，如北美能源可靠性公司和美国水务工程协会，试图通过在能源行业实施关键基础设施保护标准(NERC-CIP)和在水务部门实施安全运营和管理指南G430-14，来围绕安全设置一些参数。在发生了一些更普遍的违规事件后，公共事业委员会开始介入。密歇根公共服务委员会制定了电力服务技术标准(案例编号:;U-18043和U-18203)，要求投资者所有和合作的公用事业公司向MPSC提供关于网络安全计划和规划的年度报告，对员工的网络安全培训说明，并在检测到导致服务损失、财务损失或敏感业务或客户数据泄露的网络安全事件时立即通知MPSC。这些标准扩展到AMI和计量级别的网络保护。

既然所有的风险和威胁都很清楚，为什么所有的公用事业公司还没有采用明确的行业标准来避免网络安全威胁呢?答案是，视情况而定。根据您所在的位置，公用事业公司可能很难在内部获得和保留专业知识。在公用事业账单中发现的老式遗留系统没有预算进行完全替换，以及在内部环境中混合使用的不同应用程序是另一个更常见的违规原因。然而，最大的差距在于在所有租户(技术、业务流程、人力资源等)之间实现安全文化。

为了开始灌输安全文化，您的实用程序能做些什么呢?

1. 从小事开始:网络安全漏洞最常见的原因之一是由员工和程序协议引起的。用户教育和意识是缩小安全差距的关键。创建一种安全文化需要组织从最初的招聘开始购买。建立员工必须遵守的明确安全政策，并在数据保护方面建立个人责任，对于为员工安全奠定基础至关重要。保护标准方面的继续教育需要进行年度审查和进修。审查顾问和供应商的安全政策，确保所有各方都是安全实践的一部分。
2. 一切都是为了钱:IT人员的支持是建立安全程序和保持良好网络卫生的必要条件。安全应在你的公用事业公司的年度支出中形成一个明显的部分，并留出足够的资金用于:
   1. 雇用合适的员工-确保由首席保安官领导的员工对降低风险至关重要。正确调整IT部门的规模，使安全成为大多数公用事业的优先事项，这涉及到必须提前6个月或更长时间进行沟通和请求的额外预算。
   2. 其他技术工具—随时了解用于监控网络威胁的工具对AMI(和整体)网络健康至关重要。在规划新的财政周期时，有必要对采购成本和新工具的许可进行预算，以管理不断变化的威胁和风险状况。
   3. 第三方资源——虽然内部警戒和监控是必不可少的，但也需要为系统的第三方审计编制预算。AMI网络的日常运作往往会使内部员工对迫在眉睫的威胁感到迟钝。每年以全新的眼光看待安全操作也为应对威胁创造了一份保险政策。

3. 年度活动:定期监测网络威胁是操作的必要，但不应放弃年度风险评估的需要。全面的风险评估应包括对招聘和人力资源的政策和程序的审查，对供应商安全协议的审计，以及整体硬件和软件。信息系统审计与控制协会(ISACA)等全球机构提供了执行全面风险评估的建议指南。
4. 一盎司的预防抵得上一磅的治疗:正如亚特兰大市和夏洛特市所发现的那样，缺乏准备的成本远远超过了漏洞本身的成本。有一个记录在案的网络安全准备计划，以防意外入侵，可以缩短响应时间，降低运营影响成本。70%的水和能源供应商报告了违规情况，通过桌面练习和建模影响来应对最坏的情况，将更好地为您和组织应对可能不可避免的违规做好准备。
5. AMI并没有那么特别:定期进行网络卫生是抵御日常威胁的第一道防线。在这种情况下，AMI并不特殊。将AMI网络安全作为定期检查的一部分是必要的。AMI和仪表数据管理系统与历史遗留的计费系统的互操作性，在改善客户服务的同时，意味着违约风险可以在系统之间转移。定期修补，尽早和经常，应该发生在网络的所有层，甚至下至物理仪表和传输设备。
6. 信任专家:由于各种原因，您的实用程序可能无法执行网络安全风险评估或威胁建模—请依赖专家。与值得信赖的合作伙伴(如Red Clay)合作，可以帮助您为即将到来的AMI部署进行准备或维护，并确保电网和客户的安全。

虽然威胁和入侵几乎不可避免，但巨大的成本和影响并不一定是必然的。用户教育、定期维护以及通过识别和确定风险的优先级来工作，这些小步骤可以带来大结果。

由迈克尔·皮尔森首席信息安全官Red Clay。