NERC（北美電力可靠性公司）當地時間16日提交了其2021年電力行業年度報告，主要強調需要繼續專注于改善網絡防御。此外，隨著電網的發展和跨部門相互依存度的增加，行業必須適應威脅環境，在這種環境中，對手采用新策略、利用新漏洞以及潛在影響的規模正在發生變化。

　　進入2022 年，ERO（電力可靠性組織）企業將專注于解決提高大容量電力系統 （BES） 對廣泛、長期和極端溫度事件的彈性的四個風險要素，加強規劃和運營重點，超越容量以實現能源充足，增強CIP標準的結構，包括審查和改進明線風險標準，并通過信息共享、通信和監控關鍵安全威脅來擴大E-ISAC的影響。

　　NERC報告強調，在地緣政治事件、新漏洞、技術變化以及越來越大膽的網絡犯罪分子和黑客活動家的引導下，網絡安全格局繼續演化。在過去幾年中，NERC 觀察到惡意網絡活動的頻率和復雜程度大幅增加。

　　“我們與能源部 （DOE） 在100 天沖刺中部署OT監控工具的工作，再加上網絡安全風險信息共享計劃 （ CRISP ），有可能成為我們檢測能力的真正改變者。NERC 總裁兼首席執行官 Jim Robb在《2021年度報告》中 寫道。

　　報告稱， NERC 的電力信息共享和分析中心 （E-ISAC） 在 2021年觀察到供應鏈受損和勒索軟件攻擊、惡意軟件和網絡釣魚活動。由于遠程辦公的增加，COVID-19 大流行還需要增加遠程網絡安全攻擊面，這需要E-ISAC與各級電力企業、美國和加拿大政府以及合作伙伴進行比以往更多的共享和協作。

　　NERC董事會主席Kenneth DeFontes, Jr在報告中寫道：”E-ISAC 一直在通過警報和其他溝通工作深入解決網絡安全問題及其對行業的影響。“正是這種信息共享和分析的結合，以及CIP標準，為整個北美的BP 提供了至關重要的防御。需要結合必要網絡安全的穩健設計和新研究工具來支持電網轉型并幫助確保可靠性和彈性，”他補充說。

　　2021年年度報告還強調了E-ISAC開展的工作及其對不斷出現的網絡和物理安全威脅的回應。繼2020年12月SolarWinds遭到入侵后，Microsoft Exchange本地版本、Pulse Connect Secure VPN平臺、Kayesa產品、Blackberry/QNX 操作系統和 Apache 無處不在的Log4j工具都發現了漏洞。

　　“這些危害事件還強調了NERC的關鍵基礎設施保護 （CIP） 電子安全周邊可靠性標準要求的價值，如果它們進入操作系統，這將有效地減輕大多數（如果不是全部）攻擊的激活，”Robb 說。

　　鑒于不斷變化的行業格局，ERO企業長期戰略集中在NERC調整其績效管理的五個重點領域。其中包括在標準、合規性監控和執行方面擴大基于風險的重點，評估和促進措施以減輕已知和新出現的可靠性和安全性風險，建立強大的基于E-ISAC 的安全能力，加強整個可靠性和安全生態系統的參與度，并抓住有效性、效率和持續改進的機會。

　　2021年年度報告稱，在這些重點領域中，有幾個關鍵目標為去年開展的工作奠定了基礎。2021年ERO企業工作計劃優先事項解決了一個轉型行業，NERC需要在該行業中保持敏捷，以應對出現的任何新興風險。ERO Enterprise與行業、論壇、政府和其他組織密切合作，對BPS的重大已知可靠性風險進行持續分析。

　　在2021年11月的會議上，董事會批準了2022年ERO企業工作計劃優先事項，確定了來年的主要優先事項。8 月，NERC的2021 ERO可靠性風險優先級報告提供了BPS現在和未來面臨的風險格局的整體視圖，并作為識別關鍵新興風險和應對這些風險的潛在緩解活動的路線圖。

　　NERC 2021年度報告還重點關注了供應鏈風險緩解的重要性，這自2016年以來一直是NERC的優先事項。盡管如此，在過去兩年中，由于國家實施的供應鏈攻擊顯著增加，這一點得到了進一步的強調。報告補充說，如果沒有值得信賴的供應商與資產所有者和運營商合作，該行業將難以提高或維持可靠性，同時直接解決對電網日益增加的安全威脅。

　　3 月，FERC批準了CIP-005-7——網絡安全——電子安全邊界、CIP-010-4——網絡安全——配置變更管理和漏洞評估，以及 CIP-013-2——網絡安全——供應鏈風險管理，這些標準將于2022 年10月1日生效。聯邦能源監管委員會（FERC）還指示 NERC進行一項研究，以評估CIP-003-8電子訪問控制的實施情況，并確定控制措施是否提供所要求的足夠的安全性。

　　NERC的2021年年度報告發布之際，網絡安全和基礎設施安全局（CISA）已發布“屏蔽”警報，通知該國每個組織存在網絡威脅的潛在風險，這些威脅可能會破壞基本服務并可能對公眾造成影響安全。該警報是在俄羅斯可能入侵烏克蘭帶來的地緣政治緊張局勢加劇之后發出的。