卓上シナリオ、演習、シミュレーション、実戦的なサイバー演習、故障モードや手動操作の準備は、電力網へのサイバーディスラプションを計画する上で不可欠なステップである。このようなイベントや学習手段には、多くの場合、州、地方、商業、連邦政府のチームが参加し、発電、送電、配電資産の所有者や運営者が、混乱、ダウンタイム、緊急事態に備えて協力する。
エネルギー省(DOE)のサイバーセキュリティ・エネルギーセキュリティ・緊急対応局(CESER)が実施するリバティ・エクリプスは、複数の電力会社からセキュリティ・オペレーション・センターと 運用技術(OT )の専門家を招集し、最先端のサイバー・フィジカル・レンジでサイバーセキュリティ計画をテストする演習である。年間演習の一環として、電力情報共有分析センター(E-ISAC)はGridEx演習を調整している。GridExでは、物理的、サイバー的、運用上のイベントやインジェクションを含むシナリオが行われる。
リバティ・エクリプスとGridExの演習内容、そして現代の電力網インフラの高度な性質について学んだ教訓を詳しく見てみよう。
リバティ・イクリプス(2023年10月)
リバティ・エクリプスは、ブルーチーム対レッドチームのライブ演習であり、複数のベンダーの商用グレードの運用システムを使用する。参加者はまた、現実的な敵の活動に対するインシデントの検出と対応プロセスを改善するために、独自のハードウェアとソフトウェア、セキュリティ機器、アーキテクチャを持ち込む。
"敵の活動期間の後、レッド・チームはブルー・チームとの話し合いの中で、彼らのアプローチ、行動、電力会社が何を見たか、どのように対応したかについて話し合った。"
- サイバーセキュリティ・エネルギーセキュリティ・緊急対応室、"リバティ・イクリプスでの防御と回復力の実践"
このような脅威の探索とインシデントレスポンス能力とは別に、参加者は歴史的にブラックスタートのシナリオとアイランド化を練習する機会がある。ブラックスタートとは、自力では起動できない発電資産を起動させることで、オペレータがいつ何をどのように通電させるかを決定する。電気的アイランド化とは、インターチェンジや同期ポイントなど、運用のためにインフラをいくつかのポイントにのみ接続することを意味し、病院や軍事施設など、重要な需要がある場所を優先する。
Liberty EclipseとGridExには、電力会社や資産所有者に加えて、DOEやその国立研究所、SANS Institute、連邦政府機関、州兵から複数のボランティアや専門家が参加している。これらの演習で分析される可能性のある事象とシナリオのプレイブックは以下の通り:
- 発電、接続ポイント、または重要な配送インフラの中断
- 特定のリレーRTUやSCADAシステムを狙うマルウェア
- 通信ルーター、スイッチ、ファイアウォール
- ファームウェアのブリック
グリッドエックスVII(2023年11月)
最新のGridExには、北米内外から参加者が集まった。合計で米国44州、カナダ7州、メキシコ、ニュージーランドから参加した。演習は以下のように展開された:
- 第0段階:システムは脆弱である。増大する脅威を調査し、ニーズと期待を分類することに重点を置く。
- 第1手:標的を柔らかくする。一連のサイバー攻撃は、電力会社の対応を難しくした。ランサムウェア攻撃により、社内のITソフトウェアと、電力市場を運営するサードパーティシステムが使用不能に陥った。ICCPデータリンクの障害で通信が途絶え、天然ガスパイプラインの流量障害で地域の発電能力が低下した。
- 第2手:組織的攻撃。 組織的な物理的攻撃は複数の変電所を標的にし、加害者は重要な変圧器部品に銃弾を向けた。複数の変圧器、送電線、発電機が自動的にトリップし、広い事業エリアにわたって停電が発生しました。電力会社がこれらの攻撃に対応する中、企業の仮想プライベート・ネットワーク・システムに対する分散型サービス拒否攻撃により、リモートアクセスが断続的になったり、不可能になったりした。一方、ソーシャルメディア上では誤報や偽情報が流れた。
- 第3手:プレッシャーの中での復旧。 原因不明の送配電ブレーカーがトリップし、重要施設への送電網が遮断された。車両搭載型の即席爆発装置が電気通信施設で爆発し、RCコントロールセンターの音声通信とデータ通信が不能になった。停電に対する市民の不満が高まり、誤った情報や偽情報が広まり続けたため、抗議者が集まり、電力会社の職員に嫌がらせをするようになった。機器の保管場所や準備場所で爆発物が爆発し、サービス復旧に必要な予備機器が損傷・破壊された。このため、サプライチェーンと市場の混乱はさらに深刻化した。
- 第4楽章:1週間後 選手たちは、復旧と長期的な考慮事項について話し合い、検討した。世界的な供給不足とディーゼル燃料不足が続き、復旧・修理作業が遅れた。当面の間、予備の機材は入手できず、事業体は現在の在庫に頼らざるを得なかった。
教訓
これらの演習は、現代の電力網インフラがいかに高度なものであるかを明らかにするとともに、事故対応や緊急事態への備えのための関係者や人員がいかに多く、大規模であるかを明らかにしている。直近のリバティ・イクリプス演習とGridEx VIIから得られた教訓の中で、投資したすべての参加者の能力を向上させるために必要な3つの主要なニーズが際立っている。
1.特に複数の町や郡に同時に影響を及ぼす可能性のある出来事については、緊急対応計画と調整のために、州と地方のリソースを増やす必要がある。
緊急事態の計画と対応は、すべての緊急事態はローカルで発生することを教えてくれた。内部関係者には、ネットワーク管理チーム、情報セキュリティチーム、OT システムオペレーター、最低でもガバナンス、リスク管理、コンプライアンス(GRC)チームが含まれる。外部関係者には、地方、州、連邦政府機関、市民、メディア、企業、法人などが含まれる。
電力網へのサイバー侵入や混乱に対する計画、演習、準備のために、これらの利害関係者を首尾一貫した方法で調整することは、常に資源の乏しいイニシアチブである。すべての組織は、重要インフラに影響を及ぼす緊急事態において重要な機能を回復させる役割を担っており、州や地方の参加者をサイバー・フィジカル演習やシミュレーションに組み込むためには、全体としてより多くの意見や参加が必要である。
2.技術的な詳細を非技術的な聴衆のために翻訳することを含め、事象のトリアージと対応を行うために、サイバー専門家とシステムオペレータの連携が必要である。
同じ言語を話さなければ、重要な情報を伝達することは非常に難しい。サイロ化したチームや専門家のために共通の辞書を構築することに時間を費やすことは、重要な機能の復旧やグリッド運用の回復をさらに遅らせることになる。サイバー・インシデントレスポンス者は、コンピュータ・インシデントレスポンスツールとトレーニングを活用して、インシデントの性質を調査し、特徴付ける。オペレーターは重要なシステムを管理し、障害や損害が発生した場合に重要なビジネス機能を回復するために必要な暗黙知を持っている。
サイバー専門家とシステム運用者は、緊急事態にトリアージできるよう、演習や実世界のイベントに備えて、より頻繁かつ正式な知識の伝達を行わなければならない。国家的な能力が重要インフラ・ネットワークに出現し続ける中、これらのチームと上記の利害関係者のための基礎的な訓練と意識向上が、電力網を守るためのより安全で強靭な将来の対応チームを作る唯一の道である。
3.より強固な状況認識が必要である。
多くの組織は、最大許容ダウンタイムやインシデントからの平均復旧時間などを計算できると感じている。しかし、GridEx VIIのレポートによると、次のようになる:
「通信、セキュリティ、カスタマーケアなどの企業部門は、グリッドセキュリティインシデントレスポンスプロセスに必ずしも慣れておらず、対応者や組織の業務ニーズをサポートすることが困難であった。
- GridEx VII教訓レポート
オペレーターは、送電網の電流と電圧に責任を持つインフラの現状と設定を知らなければならない。サイバーインシデントレスポンス者は、攻撃下での侵入範囲と能力、復旧後のプロセスとシステム機器の信頼性を判断しなければならない。潜在的な攻撃や危機のシナリオにおいて、状況認識にアクセスし、活用し、評価するためには、より優れた運用・通信データと可視性が鍵となる。
Nozomi Networks について
Nozomi Networks ' ソリューションは設立当初から、産業および重要なインフラ環境の複雑な要件に対応することに深く根ざしてきました。OT がITとIoT の大きく異なる世界と融合する中で、その経験は、世界最大のネットワークに関連するツールとプロセスに関する独自の理解を当社にもたらしました。当社は、比類のないサービス、優れたサイバーおよび物理システムの可視性、高度なOT およびIoT 脅威検出、分散環境にわたる拡張性で世界的な評判を得ています。
Nozomi Networks' 自動化された資産識別により、時間を節約し、ICSとその関連資産の一元的なビューの実現を支援します。Nozomi Networks包括的な脆弱性分析は、修復ステップ、パッチ、アップグレードに関する実用的な洞察により、優先順位付けされた効率的なリスク削減の取り組みをサポートします。このプラットフォームは、DNP3やIEC 61850のような独自のプロトコルへの可視性を提供し、RTUを含む特定のデバイスを監視し、自動化された資産目録と脆弱性評価によってNERC CIPコンプライアンスを簡素化します。
Content Packは、クエリ、レポート、Playbook、およびダッシュボードを1つのファイルにバンドルし、チームへの配布を容易にします。Nozomi Networks は、管理者が時間を節約し、信頼性と一貫性を持ってコンプライアンス要件に対処するのに役立つ新しい Content Pack をいくつかリリースした。
