Wie man eine risikobasierte NERC-CIP-Bewertung für ein Umspannwerk durchführt

Eine umfassende Bewertung der Cybersicherheitslage eines Umspannwerks, einschließlich Lücken und Verbesserungsmöglichkeiten im Hinblick auf die NERC-Standards zum Schutz kritischer Infrastrukturen (CIP), kann dazu beitragen, die Einrichtung abzusichern und das gesamte Sicherheitsniveau zu verbessern, wie es durch eine risikobasierte Bewertung gemäß IEC 62443 bewertet wird.  

Was ist die NERC CIP-Bewertungmethodik für ein Umspannwerk?

Die Standards der North American Electric Reliability Corporation (NERC) zum Schutz kritischer Infrastrukturen (CIP) sind eine Reihe von Anforderungen, die darauf abzielen, das große elektrische System (BES) Nordamerikas vor Cyber- und physischen Bedrohungen zu sichern.

Für Umspannwerke, die lebenswichtige Komponenten des BES darstellen, ist eine robuste Sicherheitsrisikobewertung gemäß diesen Standards nicht nur eine Compliance-Checkliste, sondern ein entscheidender Schritt zur Sicherstellung der Zuverlässigkeit und Resilienz des Stromnetzes. In diesem Artikel teilen wir einige Details zu einer umfassenden Methodik, die von Shieldworkz entwickelt wurde, um eine NERC CIP-Bewertung für ein Umspannwerk durchzuführen, einschließlich Planungs-, Durchführungs-, Analyse- und Berichtphasen.

Planung und Festlegung des Umfangs vor der Bewertung

Der Erfolg einer NERC CIP-Risikobewertung hängt von einer Planung auf granularer Ebene ab. Diese erste Phase definiert den Umfang, die Ressourcen und das Engagement der Interessengruppen.

Identifizierung und Engagement der wichtigsten Interessengruppen:

Zu den wichtigsten Interessengruppen im Umspannwerk gehören das Personal der Betriebsabläufe, die IT/OT-Cybersicherheitsteams, NERC CIP-Compliance-Beauftragte, das Personal für physische Sicherheit, die Anbieter und OEM-Personal sowie möglicherweise juristische Berater. Eine frühe Einbindung mit klaren Erwartungen sorgt für Akzeptanz, erleichtert den Austausch von Informationen und klärt die Verantwortlichkeiten. Ein Kick-off-Meeting zur NERC CIP-Bewertung sollte abgehalten werden, um die Ziele, den Umfang, den Zeitplan und die erwarteten Ergebnisse der Bewertung zu umreißen. Es sollte auch darauf geachtet werden, alle Interessengruppen von der Notwendigkeit der Übung und den Ergebnissen zu überzeugen.

Identifizierung der in den Umfang fallenden Vermögenswerte (BES Cybersysteme und BES Cyber Assets):

Der Grundstein einer NERC CIP-Bewertung besteht darin, die in den Umfang fallenden Vermögenswerte genau zu identifizieren und zu dokumentieren. Dies beinhaltet:

· BES Cybersysteme (BCS): Dies sind die Aggregationen von BES Cyber Assets (BCA), die eine BES-Funktion ausführen. Einige Beispiele in einem Umspannwerk sind SCADA-Systeme, Energiemanagementsysteme (EMS), Remedial Action Schemes (RAS) und Schutzsysteme.

· BES Cyber Assets (BCA): Dies sind programmierbare elektronische Geräte, die Teil eines BCS sind. Dazu gehören Intelligente Elektronische Geräte (IEDs) wie Relais, RTUs, PLCs, Kommunikationsprozessoren, Firewalls, Router und zugehörige Server und Workstations. Ein detailliertes Inventar, das Gerätetyp, Hersteller, Modell, Firmware-Version, End-of-Life-Status und Netzwerkverbindung umfasst, ist unerlässlich. In den meisten Fällen erfordert dieser Schritt, dass das Umspannwerk physisch abgelaufen und die Netzwerkverbindungen nachverfolgt werden.

Bestimmung der Auswirkungenbewertungen (CIP-002):

Jedes identifizierte BCS muss basierend auf seinem Potenzial, den zuverlässigen Betrieb des BES im Falle eines Kompromisses zu beeinflussen, eine Auswirkungenbewertung (hoch, mittel oder niedrig) zugewiesen bekommen. Dies ist ein entscheidender Schritt, da der Prüfungsaufwand der geltenden CIP-Standards je nach Auswirkungen variieren kann. Die Kriterien für diese Bewertungen sind innerhalb von CIP-002 definiert. Für ein typisches Umspannwerk fallen viele Systeme in der Regel in die Kategorien mittlerer oder niedriger Auswirkungen, während kritische Schutz- oder Steuersysteme hoch eingestuft werden könnten. Die Bewertung sollte nachvollziehbar sein, und falls die Bestimmung schwierig wird, kann in einigen Fällen eine Standardbewertung von höherer Ebene zugewiesen werden.

Auswahl der anwendbaren NERC CIP-Standards:

Basierend auf den identifizierten BCS und den zugewiesenen Auswirkungenbewertungen müssen die spezifischen NERC CIP-Standards, die für das Umspannwerk gelten, bestimmt werden. Dies umfasst typischerweise:

· CIP-002: Cyber Security – Kategorisierung von BES Cybersystemen

· CIP-003: Cyber Security – Sicherheitsmanagementkontrollen

· CIP-004: Cyber Security – Personal und Schulung

· CIP-005: Cyber Security – Elektronische Sicherheitsperimeter

· CIP-006: Cyber Security – Physische Sicherheit von BES Cybersystemen

· CIP-007: Cyber Security – System-Sicherheitsmanagement

· CIP-008: Cyber Security – Vorfallberichterstattung und Reaktionsplanung

· CIP-009: Cyber Security – Wiederherstellungspläne für BES Cybersysteme

· CIP-010: Cyber Security – Änderungsmanagement der Konfiguration und Schwachstellenbewertungen

· CIP-011: Cyber Security – Informationsschutz

· CIP-013: Cyber Security – Lieferkettenrisikomanagement (relevant für Neuinstallationen oder größere Upgrades)

· CIP-014: Physische Sicherheit (spezifisch für Umspannwerke und Umspannstationen, die von den RCs als kritisch eingestuft wurden)

Die richtigen Anbieter für NERC CIP-Bewertungen auswählen

Der Bewertungsanbieter sollte Personen mit Fachkenntnissen in Cybersicherheit, Betriebstechnologie (OT), Netzwerktechnik, physischer Sicherheit und NERC CIP-Compliance auf dem Substandardniveau präsentieren. Sie sollten auch über spezialisierte Werkzeuge für die Netzwerküberprüfung, Schwachstellenbewertung und Konfigurationsmanagement verfügen. Anbieter mit Teams, die NERC CIP- und IEC 62443-basierte Bewertungen durchgeführt haben, wie Shieldworkz könnten bevorzugt werden.

Entwicklung eines umfassenden Bewertungsplans

Ein detaillierter Plan, der den Zeitplan, die Verantwortlichkeiten, die Methoden zur Datensammlung (z. B. Interviews, Dokumentenprüfung, technische Tests) und das Berichtformat umreißt, sollte vom NERC CIP-Bewertungsanbieter entwickelt und von allen Interessengruppen genehmigt werden.

Datensammlung und Durchführung der technischen Bewertung

Diese Phase beinhaltet die Sammlung von Beweisen, die Überprüfung von Dokumentationen und die Durchführung technischer Überprüfungen zur Validierung der Einhaltung der geltenden CIP-Standards.

Dokumentenüberprüfung:

Eine gründliche Überprüfung der vorhandenen Dokumentation in den Betriebsabläufen ist unerlässlich. Dies umfasst:

· Richtlinien und Verfahren: Sicherheitsrichtlinien, Notfallpläne, Verfahren zur Zugangskontrolle, Berechtigungsstufen, Sitzungsverwaltungsinformationen, Pläne zum Konfigurationsmanagement, Schulungsunterlagen, Besuchsprotokolle, Wartungs- und End-of-Life-Aufzeichnungen.

· Netzwerkdiagramme: Logische und physische Netzwerkdiagramme, die die Verbindungen zwischen IT- und OT-Netzwerken, den Grad der Segmentierung, das Vorhandensein einer DMZ, Firewall-Regeln und Kommunikationswege darstellen.

· Vermögensinventare: Detaillierte Listen von Hardware und Software mit Versionsnummern und Patch-Status.

· Architektonische Entwürfe: Systemdesigns, einschließlich Sicherheitsarchitektur, Segmentierung und Verschlüsselungsmechanismen.

· Abschließende Prüfungsberichte: Alle Erkenntnisse, Beobachtungen, OFIs oder Empfehlungen aus früheren NERC CIP-Audits oder internen Bewertungen.

· Details zu früheren Vorfällen

· Informationen über Schulungen für Schlüsselpersonal

2.2 Interviews mit Personal:

Durchführen von strukturierten Interviews mit relevantem Personal, um deren Rollen, Verantwortlichkeiten und die Einhaltung der festgelegten Richtlinien und Verfahren zu verstehen. Dazu gehört:

· Betriebsmitarbeiter: Um die täglichen Abläufe, Zugangspraktiken und den Umgang mit Vorfällen zu verstehen.

· IT/OT-Sicherheitspersonal: Um Sicherheitskontrollen, Überwachung und Vorfallreaktion zu besprechen.

· Physisches Sicherheitspersonal: Um die physischen Zugangskontrollen und die Überwachung zu verstehen.

· Anbieter mit Zugang zu verschiedenen Teilen des Umspannwerks

· OEM-Personal  

Technische Überprüfung und Tests:

Elektronischer Sicherheitsperimeter (CIP-005):

· Überprüfung der Firewall-Regeln: Untersuchen Sie die Firewall-Konfigurationen und zulässigen Richtlinien am elektronischen Sicherheitsperimeter (ESP), um das Maß an Kompromittierung zu überprüfen, das durch infizierten Datenverkehr möglich ist. Dies beinhaltet die Überprüfung von Eingangs-/Ausgangsregeln, Dienstports und Quell/Ziel-IP-Adressen.

· Überprüfung der Netzwerksegmentierung: Überprüfen Sie die Wirksamkeit der Netzwerksegmentierung zwischen den BES Cybersystemen und den Unternehmens-/untrusted Netzwerken durch Port-Scans und Netzwerkverkehrsanalyse.

· Schwachstellenscan: Führen Sie authentifizierte und nicht authentifizierte Schwachstellenscans aller Geräte innerhalb des ESP durch, einschließlich Router, Switches, Server und Workstations, um bekannte Schwachstellen wie schwache Konfigurationen und ungepatchte Software zu identifizieren.

· Überprüfung der Systeme zur Eindringungserkennung/-verhütung (IDS/IPS): Überprüfen Sie, ob die IDS/IPS-Systeme ordnungsgemäß konfiguriert sind, die Signaturen aktuell sind und Warnmeldungen überwacht und darauf reagiert wird. Überprüfen Sie auf Fehlalarme und andere Probleme, die eine Verzögerung bei der Reaktion auf einen Vorfall verursachen könnten.

· Fernzugriffskontrollen: Testen Sie Fernzugriffsmechanismen, um sicherzustellen, dass Mehrfaktorauthentifizierung, starke Verschlüsselung und Zugriff mit minimalen Rechten durchgesetzt werden.

2.3.2 Physische Sicherheit (CIP-006):

· Überprüfung des physischen Zugangskontrollsystems: Überprüfen Sie die Kartenzugriffssysteme, biometrische Scanner auf ordnungsgemäße Funktionalität und Konfiguration. Überprüfen Sie die Zugriffprotokolle, um sicherzustellen, dass nur autorisierte Personen Zugang erhalten.

· Überprüfung des Überwachungssystems: Bestätigen Sie, dass CCTV-Kameras kritische Eingänge und sensible Bereiche abdecken und dass Aufzeichnungen sicher und für die erforderliche Dauer gespeichert werden.

· Systeme zur Eindringungserkennung (IDS): Überprüfen Sie die Funktionalität und Abdeckung der physischen IDS wie Bewegungssensoren, Türkontakte.

· Verfahren zur Begleitung von Besuchern: Beobachten oder interviewen Sie Mitarbeiter bezüglich der Einhaltung der Richtlinien zur Begleitung von Besuchern.

· Überprüfung physischer Barrieren: Bewerten Sie die Integrität von Zäunen, Toren und Gebäudeperimetern.

· Wahrscheinliche Verstoßsszenarien

System-Sicherheitsmanagement (CIP-007):

· Überprüfung der Konfiguration: Untersuchen Sie die Konfigurationen von Betriebssystemen, Anwendungen und Netzwerkgeräten auf Einhaltung der Sicherheitsrichtlinien (z. B. Deaktivierung unnötiger Dienste, starke Passwortrichtlinien, Kontosperrregelungen). Dies kann automatisierte Compliance-Tools zur Konfiguration erfordern.

· Überprüfung des Status des Patchmanagements: Bestätigen Sie, dass ein robustes Patchmanagementverfahren besteht und eingehalten wird für alle BES Cyber Assets, einschließlich regelmäßiger Scans auf fehlende Patches und zeitgerechter Anwendung von Sicherheitsupdates.

· Malware-Schutz: Bestätigen Sie die Bereitstellung und Aktualität von Anti-Malware-Lösungen auf allen anwendbaren Systemen.

· Protokollierung und Überwachung von Ereignissen: Überprüfen Sie die Systemprotokolle (z. B. Firewall-, Server-, Anwendungs- und Sicherheitsinformationen und Ereignismanagementsysteme (SIEM)) auf Hinweise auf unbefugte Aktivitäten, gescheiterte Anmeldeversuche und Systemfehler. Bewerten Sie die Wirksamkeit der Protokolüberwachung und der Erstellung von Alarme.

· Kontoverwaltung: Überprüfen Sie Benutzerkonten auf ordnungsgemäße Bereitstellung/Deporerations, Passwortkomplexität und Durchsetzung des minimalen Zugriffs. Führen Sie Stichproben von Benutzerkonten durch, um die Einhaltung der Richtlinien zu überprüfen.

Änderungsmanagement und Schwachstellenbewertungen (CIP-010):

· Bewertung des Änderungsmanagementprozesses: Überprüfen Sie, ob ein formaler Änderungsmanagementprozess für alle Änderungen an BES Cybersystemen existiert, einschließlich Dokumentation, Test und Genehmigung.

· Überprüfung der Standardkonfiguration: Vergleichen Sie die aktuellen Konfigurationen mit den festgelegten sicheren Standards, um unbefugte Änderungen zu identifizieren. Automatisierte Werkzeuge sind hierbei äußerst effektiv.

· Überprüfung des Programms für Schwachstellenbewertung und -management: Bewerten Sie die Häufigkeit, den Umfang und die Wirksamkeit der Sanierung des Programms zur Schwachstellenbewertung für BES Cyber Systeme. Überprüfen Sie insbesondere, wie häufig Schwachstellen gepatcht werden und die entsprechenden Aufzeichnungen.

Informationsschutz (CIP-011):

· Datenklassifizierung und -behandlung: Überprüfen Sie, ob empfindliche NERC CIP-Informationen (z. B. Netzwerkdiagramme, Konfigurationen, Bewertungsberichte) klassifiziert und entsprechend ihrer Sensibilität behandelt werden.

· Kontrolle von Wechseldatenträgern: Überprüfen Sie Richtlinien und technische Kontrollen im Zusammenhang mit der Verwendung und Kontrolle von Wechseldatenträgern.

· Datenverschlüsselung: Bewerten Sie den Einsatz von Verschlüsselung für Daten im Ruhezustand und während der Übertragung, insbesondere für sensible Steuerungssystemdaten.

Gap-Analyse und Formulierung von Ergebnissen

Sobald alle Daten gesammelt und technische Bewertungen abgeschlossen sind, sollten die Informationen vom Anbieter im Hinblick auf die spezifischen Anforderungen jedes anwendbaren NERC CIP-Standards analysiert werden.

Mapping der Beweise zu den Anforderungen:

Jedes gesammelte Beweisstück (Dokumentation, Interviewnotizen, Testergebnisse) sollte den entsprechenden NERC CIP-Anforderungen und deren zugehörigen Compliance-Zielen zugeordnet werden (z. B. R1, R2, Teil 1, Teil 2 usw.).

Identifizierung von Lücken und Nichtkonformitäten:

Wo die Beweise nicht die vollständige Einhaltung einer Anforderung nachweisen, wird eine Lücke oder Nichtkonformität identifiziert. Jedes Ergebnis sollte klar formuliert werden, wobei auf den spezifischen CIP-Standard und die Anforderung verwiesen wird.

Priorisierung

Die Ergebnisse sollten basierend auf ihrer potenziellen Auswirkung auf die BES-Zuverlässigkeit und -Sicherheit sowie der Wahrscheinlichkeit der Ausnutzung priorisiert werden. Dies hilft der Organisation, die Sanierungsanstrengungen auf die kritischsten Bereiche zu konzentrieren. Risikostufen (hoch, mittel, niedrig) werden typischerweise zugewiesen.

Berichterstattung und Planung der Sanierung

Die letzte Phase beinhaltet die Kommunikation der Ergebnisse der Bewertung und die Entwicklung eines Plans zur Behebung identifizierter Lücken.

Entwicklung eines umfassenden Bewertungsberichts durch den Anbieter:

Der Bericht sollte ein klares, prägnantes und technisch genaues Dokument sein, das Folgendes umfasst:

· Zusammenfassung für Geschäftsleitung: Eine hochrangige Übersicht über den Zweck, den Umfang, die wichtigsten Ergebnisse und die allgemeine Cybersicherheitslage der Bewertung.

· Einleitung: Hintergrund zu NERC CIP und dem zu bewertenden Umspannwerk.

· Methodik: Beschreibung des Bewertungsansatzes, der verwendeten Standards und der Methoden zur Datensammlung.

· Detaillierte Ergebnisse: Für jeden anwendbaren NERC CIP-Standard sollten spezifische Anforderungen, beobachtete Beweise, identifizierte Lücken/Nichtkonformitäten und deren zugewiesene Risikostufen aufgelistet werden. Relevante Screenshots, Protokolle oder Konfigurationsausschnitte sollten als unterstützende Beweise beigefügt werden.

· Empfehlungen: Für jedes Ergebnis sollten klare, umsetzbare und spezifische Empfehlungen zur Behebung gegeben werden. Die Empfehlungen sollten sowohl technische Kontrollen als auch Verfahrensverbesserungen ansprechen.

· Anhang: Unterstützende Dokumentationen wie das Vermögensinventar, Interviewtranskripte und Rohberichte über Schwachstellenscans sollten beigefügt werden.

Entwicklung eines Sanierungsplans:

Basierend auf dem Bewertungsbericht sollte ein detaillierter Plan zur Sanierung entwickelt werden. Dieser Plan sollte Folgendes umfassen:

· Spezifische Maßnahmen: Detaillierte Schritte zur Behebung jedes Ergebnisses.

· Verantwortliche Parteien: Klare Zuweisung von Verantwortlichkeiten für jede Maßnahme.

· Zieltermine: Realistische Zeitrahmen für den Abschluss jeder Sanierungsmaßnahme.

· Ressourcenanforderungen: Alle erforderlichen Personale, Budgets oder technologischen Ressourcen.

· Validierungsbewertung: Falls erforderlich, sollte eine Bewertung durchgeführt werden, um den Zustand der Infrastruktur nach der Behebung der Lücken zu ermitteln.

Überprüfung nach der Bewertung und Nachverfolgung

Der Bewertungsbericht und der Sanierungsplan sollten formal den Interessengruppen präsentiert werden. Regelmäßige Nachverfolgungsmeetings sollten geplant werden, um den Fortschritt der Sanierung zu überwachen und die Wirksamkeit der umgesetzten Kontrollen zu überprüfen. Eine Neubewertung oder gezielte Überprüfung der sanierten Bereiche kann erforderlich sein.

Die Durchführung einer NERC CIP-Bewertung für ein Umspannwerk ist ein komplex, aber wesentlicher Prozess, der ein tiefes Verständnis sowohl der Cybersicherheitsprinzipien als auch der Betriebstechnologie erfordert. Durch die Befolgung einer strukturierten Methodik, die sorgfältige Planung, gründliche technische Durchführung, strenge Analyse und klare Berichterstattung umfasst, können Organisationen Cybersicherheitsrisiken effektiv identifizieren und mindern, wodurch die Zuverlässigkeit und Sicherheit des großen elektrischen Systems verbessert wird. Dieser kontinuierliche Zyklus von Bewertung, Sanierung und Überprüfung ist entscheidend für die Aufrechterhaltung einer starken und konformen Cybersicherheitslage angesichts der sich entwickelnden Bedrohungen für kritische Infrastrukturen.