Implementare practică în conformitate cu standardul NERC CIP-015-1

De ani de zile,  NERC (North American Electric Reliability Corporation)  conformitatea CIP s-a concentrat în mare măsură pe securizarea perimetrului. CIP-006 reglementa accesul fizic, CIP-007 bloca porturile și serviciile, iar CIP-005 definea ESP (Electronic Security Perimeter). Presupunerea de bază era că, dacă controlați ce trecea granița, controlați riscul. 

CIP-015-1 a respins această ipoteză și este în vigoare din septembrie 2025. Având în vedere că primul termen important de conformare este în septembrie 2028, diferența dintre „am citit standardul” și „avem o arhitectură funcțională” începe să conteze. 

FERC (Comisia Federală de Reglementare a Energiei) a aprobat standardul NERC CIP-015-1 ca standard INSM (Monitorizarea securității rețelei interne) la 26 iunie 2025, prin Ordinul 907. Standardul a intrat în vigoare la 2 septembrie 2025. Termenul limită de conformare este 2 septembrie 2028 pentru sistemele cibernetice BES (Sistemul Electric de Mare Putere) cu impact ridicat și pentru sistemele cibernetice BES cu impact mediu care dispun de ERC (Conectivitate Rutabilă Externă) la centrele de control. Toate celelalte sisteme cu impact mediu care intră sub incidența standardului trebuie să se conformeze până la 2 septembrie 2030.

Cerința principală are o importanță operațională semnificativă:

• Companiile de distribuție a energiei electrice trebuie să monitorizeze traficul din interiorul rețelelor lor de distribuție, nu doar ce intră și iese din perimetrul acestora.

• R1 impune entităților să colecteze fluxuri de date din rețea pe baza unei abordări bazate pe risc, să detecteze activitățile anomale, să evalueze anomaliile detectate și să păstreze datele asociate pe o perioadă suficient de lungă pentru a sprijini investigațiile.

• R2 și R3 se referă la protejarea și controlul accesului la datele stocate. 

Autoritățile de reglementare privesc deja spre viitor, NERC primind instrucțiuni să extindă standardul până în septembrie 2026 pentru a include sistemele EACMS (sisteme electronice de control al accesului și monitorizare) și PACS (sisteme fizice de control al accesului) din afara ESP, care vor fi incluse înviitorul standard CIP-015-2. Termenul limită se apropie cu pași repezi. 

Implementarea INSM într-un mediu OT nu este echivalentă cu implementarea unui sistem SIEM (Security Information and Event Management) într-un centru de date corporativ. Monitorizarea trebuie să fie pasivă, deoarece scanarea activă nu este o opțiune în mediile ICS operaționale. Se utilizează adesea o gamă largă de protocoale, inclusiv Modbus, DNP3, IEC 61850, PROFINET și EtherNet/IP, alături de traficul IP standard. Inventarele de active sunt adesea incomplete, ceea ce înseamnă că proiectele INSM încep de obicei cu descoperirea înainte ca orice detectare să fie posibilă. În plus, transferul datelor de monitorizare din zona OT către un sistem de stocare din partea IT, fără a introduce noi riscuri de securitate, necesită o planificare arhitecturală intenționată, nu doar o configurare.

Ceea ce pe hârtie pare un proiect de modernizare de scurtă durată poate dura cu ușurință 18 luni sau mai mult, dacă se iau în calcul implementarea, gestionarea schimbărilor și documentarea. Pentru companiile de energie electrică care au în vedere modernizarea instalațiilor din 2028, perioada de timp disponibilă pentru planificarea pe termen lung se apropie de sfârșit.

Portofoliul de soluții de securitate OT OPSWATcorespunde în totalitate cerințelor standardului CIP-015-1.

MetaDefender Security™ abordează standardele R1.1 până la R1.3, prin monitorizarea pasivă a rețelei, fără agenți, prin arhitecturi SPAN/TAP, fără injectare de trafic și fără întreruperea buclelor de control.

Inspecția aprofundată a pachetelor pentru sute de protocoale OT și IT asigură identificarea resurselor, stabilirea valorilor de referință pentru trafic și detectarea anomaliilor solicitate de R1. Acest lucru permite echipelor de securitate să identifice anomalii comportamentale, cum ar fi comenzi Modbus neașteptate, conexiuni neautorizate la stațiile de lucru de inginerie și dispozitive necunoscute, pe care instrumentele tradiționale de securitate IT le ignoră adesea.

MetaDefender oferă tot ceea ce este necesar pentru a face față provocării reprezentate de transportul datelor R2. Poarta de securitate unidirecțională a acestuia exportă datele de telemetrie INSM din zona OT către platformele de analiză și SIEM din zona IT într-o singură direcție, proces asigurat la nivel hardware, fără cale de retur. Companiile de utilități electrice pot îndeplini cerințele privind transferul de date fără a deschide un canal bidirecțional care ar crea noi vulnerabilități.

Mai exact,NetWall datelor în condiții de siguranță, în timp ce obligațiile privind păstrarea datelor și controlul accesului prevăzute de R2 și R3 sunt îndeplinite de sistemul destinatar. Arhitectura completă de conformitate este alcătuită dinOT Security și detectarea datelor,NetWall în condiții de siguranță, și un sistem SIEM din partea departamentului IT, care se ocupă de păstrarea datelor și controlul accesului.

Pentru companiile de utilități electrice care utilizează platformele de automatizare DeltaV™ sau Ovation™ ale Emerson, procesul de conformare este mai simplu. Aceste platforme sunt implementate în sute de instalații de producere a energiei electrice, de alimentare cu apă și de tratare a apelor uzate, încadrându-se în categoria proprietarilor de active BES care intră sub incidența standardului CIP-015-1.  OPSWAT Emerson au anunțat un acord global de distribuție în aprilie 2026, făcând portofoliul de securitate cibernetică OPSWATdisponibil prin suita de securitate cibernetică pentru energie și apă a Emerson.  

Alianța DeltaV existentăMetaDefender dejaMetaDefender șiUnidirectional Security Gateway platforma DeltaV. Această integrare oferă controlul suporturilor amovibile și o arhitectură de export unidirecțional al datelor care respectă cerințele CIP-003-9 și, respectiv, CIP-015-1 R2.

Noul acord extinde OPSWATde gestionare a patch-urilor pentru rețelele operaționale (OT) la platforma Ovation a companiei Emerson, acoperind peste 800 de locații la nivel global, prin utilizareaMetaDefender și My Central Management mediul local. Pentru clienții DeltaV și Ovation, o arhitectură special concepută și compatibilă cu standardul CIP este disponibilă prin intermediul relației existente cu Emerson.

Standardul CIP 015-1 nu este singurul de acest gen. Interacțiunea dintre CIP-003-9, care intră în vigoare la 1 aprilie 2026, și CIP-015-1 este punctul în care portofoliul OPSWATdevine deosebit de eficient. Cerințele de reglementare CIP-003-9 acoperă, de asemenea, suporturile amovibile și activele cibernetice tranzitorii pentru sistemele cibernetice BES cu impact redus.

În mediile OT, suporturile amovibile și resursele cibernetice temporare sunt utilizate în mod curent pentru aplicarea de patch-uri și actualizări de firmware în sistemele izolate fizic.OPSWAT ajută la scanarea și curățarea suporturilor amovibile și a laptopurilor furnizorilor înainte ca acestea să intre în contact cu o resursă a sistemului de control. Odată cu intrarea în vigoare a CIP-003-9, dacă programul dvs. se bazează pe politici mai degrabă decât pe controale tehnologice, această lacună va fi supusă auditului în următorul ciclu.