İlk olarak 14 Nisan 2022 tarihinde yayınlanmıştır.

Kuzey Amerika Elektrik Güvenilirliği Kurumu, Kuzey Amerika'nın elektrik sisteminin işletilmesi için gerekli varlıkların güvenliğini sağlar,
ve kritik altyapı sektörlerinde bir mükemmellik standardı ortaya koymaktadır. Gereklilikleri ile bağlantılı olarak, Elektrik Bilgi Paylaşımı,
ve Analiz Merkezi (E-ISAC), siber güvenliğin NERC için önemini doğrulayan bir başka siber güvenlik olgunluk işaretidir. NERC'in Şubat ayında yayınlanan 2021 Yıllık Raporu, enerji sektöründe dijital dönüşümle birlikte artan saldırı hizmeti gerçeğini özetlemek için tedarik zinciri güvenlik açıklarına, fidye yazılımlarına ve CIP'ye dikkat çekti.
Güvenilirlik NERC için de önemlidir, öyle ki NERC ve Bölgesel Kuruluşlarından oluşan bir Elektrik Güvenilirlik Organizasyonu (ERO) Kurumsal ekibi vardır. Güvenilirlik, şiddetli hava koşulları gibi pek çok konuyu kapsarken, siber güvenlik de önemli bir rol oynamaktadır. 2015 yılında Ukrayna'nın elektrik şebekesine yapılan siber saldırı, Rusya ile devam eden çatışmalarla birlikte herkesin aklının bir köşesinde.
Bu siber güvenlik endişeleri yersiz değildir. Biden Yönetimi, bilgisayar korsanlarının uzaktan erişim sağlamasına ve dokuz federal kurumu ve yaklaşık 100 özel sektör SolarWinds müşterisini etkilemesine olanak tanıyan SolarWinds'in tedarik zinciri saldırısına karıştığı için Rusya'ya yaptırım uyguladı. NERC, E-ISAC'ın çeşitli devlet kurumlarıyla yakın bir şekilde çalıştığını ve saldırıya karşı bir endüstri tepkisini koordine etmek için bir kaplan ekibi oluşturduğunu bildirdi. Daha yakın zamanda, Log4J güvenlik açığı üçüncü taraf riskiyle ilgili endişeleri yeniden alevlendirdi.
Rusya, son iki yılda rekor seviyelere ulaşan fidye yazılımı saldırıları için de güvenli bir liman olarak görülüyor. Colonial Pipeline saldırısı ve buna bağlı olarak yaşanan kapanma elektrik sektörünü yakından etkilemiştir ve NERC, E-ISAC aracılığıyla bilgi paylaşımını artırarak savunmayı geliştirmeye odaklanmaya devam edilmesi çağrısında bulunmaktadır.
Bilgi Paylaşımı, Analiz ve Katılım ile Güvenliği Güçlendirmek
NERC'e göre, E-ISAC'ın Uzun Vadeli Stratejik Planının üç ayağı bilgi paylaşımı, analiz ve katılımdır. Bu ilkeler sektör genelinde bilgi paylaşımına yöneliktir, ancak bu paylaşıma kurum içinden başlanmalıdır. Bir güvenlik operasyon merkezi (SOC) ve bir olay müdahale (IR) ekibi geliştirmek, siber güvenlik olgunluğunu iyileştirmek için uzun bir yol kat eder, ancak en gelişmiş kuruluşlar, ilgili manuel süreçlerin çoğunu otomatikleştirmeye ve düzenlemeye yardımcı olabilecek araçlara yönelmektedir.
NERC ayrıca, 1 Ekim 2022'de yürürlüğe girecek olan ve toplu olarak Supply Chain Standartları olarak bilinen üç yeni CIP gereksinimini de onaylamıştır. Operasyonel Teknoloji (OT) ortamları geleneksel BT ortamlarına karmaşıklık kattığı için bu düzenlemeleri yönetmek zor olabilir, çünkü OT ortamları tipik olarak BT sistemlerinden izole edilmiştir. Hava boşluklu ağlar bile BT ve OT ekiplerinin, mühendislerin ve yüklenicilerin bu sistemleri çalıştırmak, bakımını yapmak, güncellemek, denetlemek ve taşınabilir medya ile yönetmek için ihtiyaç duydukları doğrudan fiziksel erişime karşı savunmasızdır. Zorlu olsa da, bu senaryolara bir yanıt, OPSWAT'ınki gibi fiziksel bir cihazın konuşlandırılması olabilir MetaDefender Kioskyüksek güvenlikli tesislere girmeden önce taşınabilir cihazları ve çıkarılabilir medyayı siber güvenlik risklerine karşı taramak.
Hükümet siber güvenlik ve kritik altyapı korumasına daha fazla odaklanırken, NERC'in diğer birçok kritik altyapı sektöründen bir adım önde olduğu görülüyor. Zero Trust siber güvenlikle ilgili ulusal konuşmalara girerken, görünürlük, analitik, otomasyon ve düzenleme temeliyle başlamak önemlidir.
Blog: Siber Güvenlik Uyumluluğunu Anlamak (İşletmenizi Koruyun ve Rekabet Avantajı Elde Edin)
OPSWAT OT ve Industrial Siber Güvenlik Çözümlerinin kritik ortamlarınızı korumaya nasıl yardımcı olabileceğini öğrenin ve daha fazla bilgi için siber güvenlik uzmanlarımızdan biriyle iletişime geçin.
