美国能源部新文件将中国,俄罗斯列为对美国大电网的威胁

在执行行政命令以制定行业法规后,美国能源部RFI寻求有关能源行业供应链安全实践的信息。

5月1日,特朗普政府发布了 关于确保美国大功率电力系统安全的行政命令 该方案力图从电网中删除由外国对抗国供应商提供的关键电气设备。昨天,美国能源部(DOE)电力办公室发布了一份 要求信息 (RFI)“寻求信息以了解能源行业当前的做法,以识别和缓解大功率系统(BPS)组件供应链中的漏洞。”

RFI是行政命令(EO)的后继命令,该命令指示能源部与其他机构协商制定通过规则制定过程实现其目标的法规。 EO将电气设备定义为用于变电站,控制室和发电站的项目,包括电抗器,电容器,变电站变压器,大型发电机,电压调节器以及其他几种已定义的电气设备。

俄罗斯和中国称“对抗国家威胁”

与行政命令不同,RFI明确将中国和俄罗斯列为对大国电力系统的最大对抗国,因为它们“都拥有高度先进的网络程序,而且……这两个国家都对美国政府构成了主要威胁,包括但不限于军事,外交,商业和重要基础设施。”根据国家情报局(ODNI)国家反情报与安全中心(NCSC)办公室的评估,RFI表示,美国大功率电力系统是这两个正在绘制地图的“近端对手”的目标“美国关键基础设施的长期目标是能够造成重大破坏。”

RFI进一步表示,这些对手正试图通过将恶意软件插入技术网络和通信系统中的多个位置来访问关键基础设施供应链。为了解决大容量供应链对国家安全的影响,美国能源部的RFI专注于“基于证据的网络安全成熟度指标”以及外国所有权,控制权和影响力(FOCI),以限制采购并评估供应链控制不足的后果。

DOE寻求行业对优先事项,流程的投入

美国能源部在其RFI中将EO的主要设备范围缩小为“启用分阶段的过程,通过该过程,部门可以按功能和对整体BPS的影响对BPS电气设备进行优先审核。” DOE缩小了重点的设备类别有:

  • 高压变压器(包括发电升压变压器)
  • 无功功率设备(电抗器和电容器),
  • 断路器
  • 发电(包括在传输级别提供给BPS的发电以及支持变电站的备用发电)。

该部门从公用事业所有者,运营商及其供应商那里寻求许多具体,严格和复杂问题的答案。这些问题涵盖了广泛的供应链领域,从公用事业和供应商是否进行企业风险评估到分包商的治理水平,再到适用于具有外国所有权,控制权或影响力的供应商的访问控制策略。

NERC发布供应链警报

DOE希望所有感兴趣的各方在8月7日前一个月内回答这些问题和其他问题。北美电力可靠性公司(NERC)做出了单独但随之而来的努力,这是公用事业和供应商在如此迅速地回答这些问题时可能面临的挑战。 ,这是一个已经为电力行业建立强制性安全标准的准政府组织。昨天,NERC在发布DOE的RFI的同时发出了“保护美国大功率电源系统,供应链III”警报。

尽管警报的内容是机密的,并且仅限于电力公司,但NERC在一份声明中告诉CSO,它发布了该文件,“继续收集有关使用国外BPS设备的信息”。电力公司必须在7月16日之前确认收到警报,并在8月21日之前回应警报的建议。

能源安全RFI广受好评

能源安全财团EnergySec的创始人,现在能源咨询公司Archer 安全的执行合伙人Patrick Miller告诉CSO:“我认为[DOE的RFI]是迈出的良好一步。” “我认为他们向业界征求意见是很好的。”

ICS安全咨询公司Digital Bond的创始人兼首席执行官Dale Peterson表示同意。他说:“ DOE响应行政命令推出这种RFI是一种期望,这是很好的,”彼得森特别高兴DOE询问电网中存在哪些设计不安全的通信协议,例如分布式网络协议3 [DNP3],文件传输协议[FTP],Telnet或Modbus。他说:“自2012年以来,我一直在击败那个鼓。”

一家公用事业公司是西部地区电力管理局(WAPA),这是由DOE管理的联邦所有制电力公司,自然会支持该政府试图通过行政命令实现的目标。 WAPA首席执行官马克·加布里埃尔(Mark Gabriel)告诉CSO:“如今,当美国最关键的基础设施不断受到威胁时,我们需要采取一切措施来保护散装电力系统免受潜在对手的伤害。” “ [EO]的精神和意图都符合我们保护大型电气系统所需要做的工作。”

加布里埃尔说:“越来越多的证据和经验证明了对大电网的威胁。” “考虑到这样一个事实,我们中运行大型电力系统的人们每天都会以暴风雨或松鼠的形式应对威胁。从国家安全的角度来看,这是我们所有人都需要支持的领域。”

竞争的关键基础架构框架

在其RFI中,DOE严重依赖于ODNI的NCSC供应链风险管理最佳实践框架,而不是NERC的行业开发框架NERC-CIP [关键基础设施保护] 13,该框架于2018年10月18日获得批准,现已成为自2020年7月1日起生效。“对我而言,这就如何与CIP-13相互作用,提出了很多问题,”阿彻的米勒说。 “这两个机构在做的事情在某些方面看起来相似,而在其他方面看起来有所不同。我们需要做一件事吗?我们需要做两件事吗?它们在幕后分享信息吗?”

Miller继续说道:“ DOE将EO与NERC的供应链工作联系在一起,但没有提供这两种工作如何融合或分歧的任何解释。” “维恩图中的这两件事在哪里重叠?允许和不允许什么?如果您做的一件事情符合NERC标准,但与美国能源部的不匹配,那将是“报价-取消报价”规定,那么执行会是什么样? DOE是否会以某种方式依靠NERC,以便他们能够做到这一点?所有这些问题都出现了。”

美国能源部说,该部门正在与NERC合作。 DOE官员告诉CSO:“能源部与NERC和FERC(联邦能源管理委员会)密切合作,因为保护电网安全对所有人来说都是至关重要的任务。” “在签署行政命令之后,电力办公室助理秘书布鲁斯·沃克向NERC和FERC做了简报。能源部赞赏NERC为帮助行业了解外国对手制造或提供的大功率系统设备的风险所做的努力。”

版权© 2020 IDG通讯,Inc.