NARUC planea publicar su Guía de implementación de la Fase 2, que debería ayudar a los reguladores a considerar el alcance, las prioridades necesarias y la secuencia necesaria para promulgar protecciones cibernéticas efectivas. La publicación escalonada también permite a los comisionados de servicios públicos y su personal hablar con varias partes interesadas en sus jurisdicciones sobre la mejor manera de abordar los riesgos cibernéticos, dadas las complejidades de sus sistemas locales de distribución de electricidad y las diferentes arquitecturas, componentes, mecanismos de control de energía y empresas de los participantes en la distribución. tamaño.
“Lo que es realmente bueno es que han tomado la iniciativa y los pasos para crear este documento complementario al que llaman referencias informativas, donde asignan todos los diversos aspectos de estas líneas de base a estándares de ciberseguridad ya existentes, como el de Ciberseguridad del Instituto Nacional de Estándares y Tecnología. Framework y las pautas de protección de infraestructura crítica de la Corporación de Confiabilidad Eléctrica de América del Norte”, explicó Keirstead. «De modo que, si ya implementó algunos de estos otros estándares, le resultará más fácil dar fe del cumplimiento de estas líneas de base también».
Para empezar, las líneas de base de NARUC sugieren que las empresas de servicios públicos completen y mantengan un inventario de sus activos críticos de tecnología de la información y tecnología operativa digital, clasificados según cuán esencial es la tecnología para el suministro de energía.
Las compañías eléctricas deberían, si aún no lo han hecho, designar personal específico de alto nivel que tenga “responsabilidad explícita” de planificar, dotar de recursos, ejecutar y gestionar la ciberseguridad para la información y la tecnología operativa en la empresa de servicios públicos.
Además, las empresas de servicios públicos deben realizar una validación independiente de sus controles de ciberseguridad de «manera oportuna y teniendo en cuenta los riesgos». Al adquirir equipos o servicios, las empresas deben incluir un lenguaje contractual que incluya estipulaciones de ciberseguridad, como la notificación de incidentes de seguridad y la identificación de vulnerabilidades, nuevamente, en un período de tiempo informado sobre los riesgos, especificó NARUC. Cualquier adición futura de hardware y software debe realizarse previa aprobación teniendo en cuenta las medidas de ciberseguridad.
Las directrices también incluyen disposiciones de gestión de identidad, credenciales y acceso, así como capacitación básica en ciberseguridad para todos los empleados y contratistas y capacitación especializada en ciberseguridad relacionada con la tecnología operativa para quienes participan en operaciones críticas.
Keirstead recomendó una comprensión clara de los riesgos cibernéticos de los distintos sistemas de servicios públicos. “Uno de los aspectos clave de la ciberseguridad es hacerlo con un enfoque informado sobre los riesgos”, subrayó. “Porque no existe la perfección en materia de ciberseguridad. En realidad, se trata de equilibrar los riesgos”, dijo, enfatizando la importancia de controles suficientes que sean proporcionales al riesgo que corre una organización, ya que organizaciones de diferentes tamaños tendrán diferentes niveles de riesgo en los diferentes sectores. “Con esto estamos hablando de energía, que es parte de nuestra infraestructura crítica, y es un área de alto riesgo de ataque. Los ataques cibernéticos se han duplicado en el sector energético cada año desde 2020. Cuando miramos las cosas con esa lente, es una propuesta de muy alto riesgo”.
Comentando también las líneas de base de NARUC, Mark Cooper, presidente y fundador de PKI Solutions, advirtió que “las amenazas en evolución que enfrentan las infraestructuras críticas, especialmente los sistemas de distribución eléctrica, continúan aumentando mientras faltan herramientas adecuadas que aumenten la resiliencia”. Instó a las comisiones de servicios públicos y a las empresas de servicios públicos, independientemente de qué tecnologías se implementen, a cambiar a una estrategia y una mentalidad más proactivas “que incluyan monitoreo en tiempo real para identificar problemas de manera proactiva para que se puedan realizar soluciones antes de que se conviertan en amenazas a la seguridad.
«Es bueno ver que la iniciativa del DOE ofrece un marco para que estas partes interesadas se defiendan contra las amenazas cibernéticas y promuevan la resiliencia cibernética con un enfoque uniforme, pero el éxito del programa dependerá de la implementación de estándares y herramientas mejorados de gestión de identidad y cifrado para para defenderse contra el acceso no autorizado y las amenazas en el sector energético”, señaló Cooper.
«La ciberseguridad es un fundamento integral de la resiliencia del sistema eléctrico, y esta iniciativa se basa en el trabajo que los estados han realizado durante la última década para mitigar el riesgo de ciberseguridad en sus infraestructuras críticas», afirmó NARUC. “Las partes interesadas del sistema de distribución eléctrica reconocen la importancia de mejorar la confiabilidad, resiliencia y seguridad de la red. De hecho, abordar el riesgo de ciberseguridad es esencial a medida que los sistemas de distribución eléctrica continúan evolucionando, impulsados por nuevas tecnologías y modelos operativos, así como por la amenaza cada vez mayor de ataques cibernéticos”.
