电网赛博安全—能源部需确保其充分应对配电系统风险的计划
2021年3月18日,美国国会政府问责局(GAO)网站发布报告,题为《电网赛博安全: 能源部需确保其充分应对配电系统风险的计划》,报告要点如下:
美国电网的配电系统(将电力输送给消费者的那部分电网)越来越容易受到赛博攻击,部分原因是引入并依赖于一些监控技术。但是,对于此类攻击潜在影响的规模尚不十分了解。
能源部(DOE)正在制定国家赛博安全战略中有关能源部门的那部分内容,但它已将精力更多地集中在电网发电和输电系统面临的风险上。我们建议更全面地应对配电系统的风险(美国电网见下图上)。
研究目的
美国电网提供现代生活所必需的电力,保护其可靠性以来都属于国家利益。电网包括3个功能:发电、输电和配电。2019年8月,GAO在报告中称发电和输电系统(联邦政府对其可靠性进行监管)越来越容易受到赛博攻击。
GAO被要求审查电网配电系统的赛博安全性。本报告:(1)描述了赛博攻击对电网配电系统造成威胁的程度以及此类攻击潜在影响的规模;(2)描述了为改善配电系统赛博安全性而选择的州和行业行动,以及联邦支持这些行动所作的努力;(3)审查能源部在其实施国家赛博安全战略计划中在多大程度上应对了配电系统风险。为此,GAO审查了与电网赛博安全风险有关的联邦和行业报告,并分析了相关的DOE文件。GAO还采访了联邦、州和行业官员非概括性样本,这些样本在电网配电系统的赛博安全方面发挥了作用。
主要发现
美国电网的配电系统(将电力经输电系统送至消费者,并且主要由州来监管)越来越受到赛博攻击的威胁。配电系统变得越来越脆弱,部分原因是其行业控制系统越来越多地允许远程访问并连接到商业网络。结果,威胁行为者可以使用多种技术来访问这些系统,并可能破坏一些作业(获得行业控制系统初始访问权限的技术示例见下图下)。但是,人们对这种攻击潜在影响的范围还没有很好的了解。
GAO审查中所包括的配电公司通常不受强制性的联邦赛博安全标准的约束,但它们和所在的州已采取了旨在改善配电系统赛博安全的措施。这些行动包括将赛博安全纳入日常监督流程,并雇用专门的赛博安全人员。联邦机构通过提供赛博安全培训和指导来支持这些行动。
作为能源领域牵头的联邦机构——DOE已制定国家电网赛博安全战略实施计划,但这些计划并未充分应对电网配电系统的风险。例如,DOE的计划没有消除与供应链相关的配电系统的漏洞。据官员称,DOE尚未在其计划中充分应对此类风险,因为它已优先考虑应对电网发电和输电系统的风险。但如果不这样做,在优先考虑联邦政府对各州和整个行业的支持以改善电网配电系统赛博安全性方面时,DOE计划的作用可能会受到限制。
GAO建议
GAO建议DOE在实施国家赛博安全战略计划时,更充分地应对赛博攻击对电网配电系统的风险(包括其潜在影响)。DOE同意GAO的建议。
