Cos’è lo standard Nerc Cos’è lo standard Nerc
  • Homepage
  • Blog
  • Homepage
  • Blog

Gennaio 2020

Cos’è lo standard Nerc

Il North American Electric Reliability Corporation (NERC), è un’associazione no-profit, che si occupa di creare standard per la messa in sicurezza di importati impianti elettrici.

Nerc Cip

Tra questi standard è stato creato il NERC CIP, che ha come obbiettivo quello di assicura la sicurezza del perimetro e dell’aspetto legato alla Cyber Security.

Dove si applica?

E’ uno standard diffuso nel Nord America, dove gli impianti grid e smart grid, non possono sottrarsi alla loro applicazione! Diversamente da altri Standard che si è soliti affrontare come il NIST o ISA-99, il NERC CIP per gli stati coinvolti, è un obbligo!

Cosa si rischia se non si rispetta ?

Per chi non soddisfa lo standard Nerc Cip negli Stati del Nord America le sanzioni sono pesanti, ecco quanto previsto dal documento ufficiale:

“Violations of compliance costing up to $1 million penalty per day“

Cosa prevede lo Standard NERC CIP ?

Si presenta come un insieme di regole e best practices che devono essere sviluppate durante l’implementazione delle Centrali e Sottostazioni elettriche e per tutto la loro durata.

Alcune definizioni sono obbligatorie per comprendere meglio lo standard.

  • BES – Bulk Electronic System ovvero tutti gli elementi e le strutture che compongono il sistema di Centrale, Sottostazione e Distribuzione.
  • BEA – Bulk Electronic Asset ovvero una risorsa informatica, che se resa non disponibile, degradata o funzionante in modo improprio per 15 min o più, avrebbe un impatto negativo sulla infrastruttura BES.
  • IED – Intelligent Electronic Device, sono i dispositivi elettronici che comunicano tra loro tramite media e protocolli come Modbus, DNP, IEC 61850 ecc.

Per semplicità le riassumiamo in questa tabella:

ArticoloScopoCome
CIP-002-5.1a BES
Cyber System Categorization
Identificare e classificare i sistemi informatici BES in base al rischio a cui sono esposti dal punto di vista della Cyber Security.Identificando i BES e loro funzioni. Assegnare al BES un peso strategico di importanza e indica come andrebbe protetto. Identificare e classificare tutte le risorse o sistemi BEA che potrebbero causare problemi se compromesse. Separare logicamente i BEA in sottosistemi e classificarli secondo una grado di criticità da grave (critico) a basso.
CIP-003-7 S
Security Management Controls
Identificare e classificare le responsabilità dei sistemi informatici relativi al BES, in base al rischio a cui sono esposti dal punto di vista della Cyber Security.Redando la documentazione relativa.
CIP-004-6
Personnel & Training
Ridurre al minimo il rischio di compromissione che potrebbe portare a un cattivo funzionamento o instabilità dei BES. Richiede che il personale che accede ai sistemi BES sia formato e consapevole in tema di Cyber Security.Formando gli addetti sul tema della Cyber Security.
CIP-005-6
Electronic Security Perimeter(s)
Gestire il corretto accesso elettronico al perimetro, in modo che eventuali vulnerabilità non compromettano il funzionamento dei BES.Definendo la creazione di un perimetro attorno ai sistemi informatici, nonchè le policy per proteggere tutti i protocolli instradabili (profinet, DNP3, 104 ecc.). Fornire un accesso sicuro da remoto, mettere in campo. Fornendo sistemi con crittografia della sessione remota, autenticazione a più fattori, aggiornamenti anti-malware, aggiornamenti delle patch e utilizzo del protocollo di autenticazione robusti, per limitare l’accesso in base ai ruoli.
CIP-006-6
Physical Security of BES Cyber Systems
Gestire l’accesso fisico ai sistemi BES.Mettendo in atto una serie di attività volte a limitare e controllare l’accesso fisico ai BES. Ad esempio monitorando l’accesso fisico ai sistemi (videocamere), registrando gli accessi (registro accessi).
CIP-007-6
System Security Management
Gestire la sicurezza del sistema specificando determinati requisiti tecnici, operativi e procedurali a supporto della protezione dei BES.Implementando misure di sicurezza dei sistemi, come la disabilitazione di porte non utilizzate, la limitazione di supporti rimovibili, patch di sicurezza, gestione delle password, ecc. Comprende anche il rilevamento di violazioni della sicurezza, malware, ecc. Registrare eventuali test e procedure.
CIP-008-5
Incident Reporting and Response Planning
Prevedere un piano di mitigazione e risposta per i sistemi BES in caso di incidente.Creando un piano di risposta agli incidenti che dovrebbe includere le azioni, i ruoli e le responsabilità delle persone coinvolte, nonché i dettagli su come gli incidenti dovrebbero essere gestiti e segnalati agli organi di governo. Questo piano dovrà essere aggiornato ogni anno e testato.
CIP-009-6 Recovery
Plans for BES Cyber Systems
Prevedere un piano di ripristino per i BES in caso di incedente.Fornendo sistemi di backup, business continuity, nonché le informazioni di recupero. Individuando i responsabili di tali processi.
CIP-010-2
Configuration Change Management and Vulnerability
Prevenire e rilevare modifiche non autorizzate ai sistemi informatici BES. Registrare le modifiche alla configurazione ed effettuare la valutazione della vulnerabilità presenti nei sistemi.Implementando sistemi di monitoraggio e prevenzione sulle configurazioni dei sistemi.
CIP-011-2
Information Protection

Prevenire l’accesso non autorizzato alle informazioni del sistema informatico BES.
Fornendo sistemi di documentazioni robusti, cifrati e a doppia autenticazione.
CIP-014-2
Physical Security
Identificando e proteggendo fisicamente anche le stazioni e sotto-stanzioni che se compromesse potrebbero rendere i sistemi instabili o non funzionanti.Implementazione di barriere fisiche, controllo di forze dell’ordine, addetti alla sicurezza ecc.

Considerazioni

Lo Standard NERC CIP, riprende molti concetti già conosciuti al mondo dell’Industrial Cyber Security, ma lo rende a tutti gli effetti un regolamento che Paesi del Nord America non possono ignorare. Grazie a questo approccio, la sicurezza informatica degli impianti elettrici non è più una “costosa” opzione da fornire al cliente. L’auspicio è quello di una adozione di standard simili in tutto il mondo, anche senza che questo sia un obbligo di legge.

Read More

Articoli recenti

  • EDR vs CLASSIC ANTIVIRUS
  • Cos’è lo standard Nerc
  • L’energia: il nuovo bersaglio
  • Lo standard IEC 62443/ISA 99
  • Mancanza di visibilità nei sistemi ICS

Archivi

  • Giugno 2021
  • Gennaio 2020
  • Ottobre 2019
  • Settembre 2019
  • Giugno 2019
  • Aprile 2019
  • Marzo 2019
  • Gennaio 2019
  • Dicembre 2018
  • Novembre 2018
  • Settembre 2018
  • Giugno 2018
  • Marzo 2018
  • Novembre 2017
  • Febbraio 2017

Categorie

  • IT Security
© 2019 cQuri. All right reserved.
cQuri by IBS SRL