政府问责办公室(高)在一个新的 报告 若干网络安全对美国电网的风险,并呼吁能源部(DOE),以制定改进的联邦战略,以防止网格对网格进行网络。

高位发现,威胁演员 - 包括国家,国家赞助群体,恐怖分子和犯罪分子 - 越来越能成为网格上的网络攻击,这同时变得更加易受攻击。增加的攻击表面,高添加,主要是因为远程访问工业控制系统设备,消费者的物质设备连接到网格的分发网络和GPS系统。

据报道,虽然美国尚未经历与网络相关的国内停电,但高高还发现有限的评估使官员不确定潜在的规模网络攻击。

母鹿,国土安全部(DHS),联邦能源监管委员会(FERC)和其他机构从事从电网网络安全风险保护关键基础设施的活动。虽然DOE已经形成了策略文件来面对网络威胁,但是,高位发现“他们没有解决电网面临的具体风险和挑战”。

“直到DOE确保它有一个计划旨在实施与网格相关的联邦网络安全战略,该策略解决了国家战略的所有关键特征 - 包括对网络安全风险的完全评估 - 该计划的指导为分配资源提供决策者解决风险和挑战可能是有限的,“高涨。

进一步说,GAO表示,FERC“不确保其批准的电网网络安全标准完全解决了改善关键基础设施网络安全的主要联邦指导 - 特别是NIST网络安全框架,”这个FERC也没有评估对“地理上分布式目标的潜在网络威胁”批准网格网络系统必须遵守的阈值。“

“没有关于这种攻击的风险的信息 - 特别是一个可能针对较少要求的低影响系统的风险,但在聚合可能影响网格FERC并没有保证其批准的强制性遵守的批准阈值适当响应风险和充分提供电网的可靠运行,“GAO解释说。

高发签发了三项建议 - 一个到DOE和两个到FERC - 在其审查中:

  • 母鹿 应该与DHS协调,形成一个计划,旨在实施“电网的联邦网络安全战略,并确保该计划解决了国家战略的关键特征,包括对网格的网络安全风险完全评估;”
  • FERC. 应考虑是否指导北美电力可靠性公司(NERC)来改变其网络安全标准,以便更充分地解决NIST网络安全框架,以及当前和预测的风险;和
  • FERC. 应评估地理分布目标的协调网络角度的潜在风险,并确定是否指导NERC改变其“强制性遵守全套网络安全标准要求的”阈值。“

母鹿 和FERC同意该建议。 DHS和商务部还收到了该报告,没有评论。 NERC收到了报告,也不同意调查结果。

“NERC表示不同意我们的结论,即FERC批准的网络安全标准并没有完全解决NIST网络安全框架,”高说。 “我们审查了NERC的分析将FERC批准的网络安全标准与NIST网络安全框架进行了比较,并继续相信我们的分析准确反映了标准解决框架的程度。”

阅读更多信息