Wie Versorgungsunternehmen von FERC-Anreizen profitieren können

Die ständige Weiterentwicklung von Cyber-Bedrohungen hat es für Unternehmen immer schwieriger gemacht, ihre Identitäten zu schützen und den Zugriff auf alle Ressourcen zu sichern. Dies gilt insbesondere im Versorgungssektor, der verzeichnet weiterhin eine Zunahme von Cyberangriffen die seine Zuverlässigkeit gefährden.

Als Reaktion auf eine Anweisung des Kongresses, dieser wachsenden Bedrohung zu begegnen, hat die Federal Energy Regulatory Commission (FERC) kürzlich ihre Vorschriften überarbeitet, um Versorgungsunternehmen die Möglichkeit zu geben, eine anreizbasierte Tarifrückerstattung zu erhalten, wenn sie bestimmte vorab qualifizierte Cybersicherheitsinvestitionen tätigen oder sich einer Bedrohung anschließen Programm zum Informationsaustausch. Diese Investitionen kommen den Verbrauchern zugute, indem sie Versorgungsunternehmen dazu ermutigen, in ein Programm für fortschrittliche Cybersicherheitstechnologie zu investieren und sich an Programmen zum Austausch von Informationen über Cybersicherheitsbedrohungen zu beteiligen, wie von der Richtlinie vorgegeben Gesetz über Infrastrukturinvestitionen und Arbeitsplätze (IIJA) von 2021.

In diesem Beitrag erklären wir, was die Anreize für das Advanced Cybersecurity Investment-Programm beinhalten und wie Silverfort kann Versorgungsunternehmen dabei helfen, die Anreize von FERC zu nutzen und in Lösungen wie zu investieren Silverfort.

Was ist das Advanced Cybersecurity Investment Program?

Am 3. Juli 2023 sind Versorgungsunternehmen in den gesamten Vereinigten Staaten zum Beitritt berechtigt Anreize für das Advanced Cybersecurity Investment-Programm, ein freiwilliger Cyber-Anreizrahmen, der von der Federal Energy Regulatory Commission im Rahmen des von der Biden-Regierung entwickelten Infrastructure Investment and Jobs Act eingerichtet wurde.

Der Auftrag bietet ein Anreizprogramm für qualifizierte Investitionen in die Cybersicherheit. Mithilfe dieses Anreizes können Versorgungsunternehmen eine Rückerstattung der aufgeschobenen Kosten für förderfähige Cybersicherheitsinvestitionen beantragen, sodass sie den nicht amortisierten Teil in ihre Tarifbasis einbeziehen können. Dieser Anreiz gilt für Ausgaben wie Betriebs- und Wartungskosten, Arbeitskosten, Implementierungskosten, Netzwerküberwachungskosten, Schulungskosten und Software-as-a-Service (SaaS)-Kosten.

Im Rahmen des Programms sind Ausgaben und Kapitalinvestitionen mit fortschrittlicher Cybersicherheitstechnologie sowie der Teilnahme an einem Programm zum Informationsaustausch über Cybersicherheitsbedrohungen verbunden. Abschnitt 219A des Federal Power Act (FPA) definiert Advanced Cybersecurity Technology als „jede Technologie, Betriebsfähigkeit oder Dienstleistung, einschließlich Computerhardware, Software oder zugehöriger Vermögenswerte, die die Sicherheitslage öffentlicher Versorgungsunternehmen durch Verbesserungen der Schutzfähigkeit verbessert.“ gegen eine Cybersicherheitsbedrohung vorgehen, diese erkennen, darauf reagieren oder sich davon erholen.“

Die neue Regelung entschärft auch eine der größten Herausforderungen, mit denen Eigentümer und Betreiber kritischer Infrastrukturen konfrontiert sind: der Mangel an verfügbaren finanziellen Mitteln für Investitionen in Cybersicherheit.

Berechtigung für das Advanced Cybersecurity Investment Program

Um sich für eine anreizbasierte Tarifbehandlung zu qualifizieren, verlangt FERC von Energieversorgern, dass sie ihre Cybersicherheitsinvestitionen an den folgenden Kriterien ausrichten:

1. Erhöht die Cybersicherheit entweder durch die Implementierung fortschrittlicher Cybersicherheitstechnologie oder durch die Teilnahme an einem Programm zum Austausch von Bedrohungsinformationen.
2. Ist nicht bereits durch die Zuverlässigkeitsstandards vorgeschrieben (die NERC-Zuverlässigkeitsstandards definieren die Zuverlässigkeitsanforderungen für die Planung und den Betrieb des nordamerikanischen Großenergiesystems) oder anderweitig durch lokale, staatliche oder bundesstaatliche Gesetze, Entscheidungen oder Richtlinien vorgeschrieben; ansonsten gesetzlich vorgeschrieben; oder eine Maßnahme, die als Reaktion auf eine Fusionsbedingung einer Bundes- oder Landesbehörde, ein Zustimmungsdekret einer Bundes- oder Landesbehörde oder eine Vergleichsvereinbarung zur Beilegung eines Streits zwischen einem Versorgungsunternehmen und einer öffentlichen oder privaten Partei ergriffen wird

Darüber hinaus definierte das Programm einen Zeitraum, in dem Versorgungsunternehmen eine Anreizbehandlung für eine bestimmte Investition beantragen können. Konkret kann ein Versorgungsunternehmen keine Anreizbehandlung beantragen, wenn ihm vor Einreichung des Förderantrags bereits seit mehr als drei Monaten Kosten für die Investition entstanden sind.

Mit der Bekanntmachung der vorgeschlagenen Regelsetzung (NOPR) wurden zwei Rahmenwerke festgelegt, um die Arten von Ausgaben zu ermitteln, die für einen Anreiz in Frage kommen:

1. Ansatz der vorqualifizierten (PQ) Liste:

Die PQ-Liste umfasst Ausgaben im Rahmen des Cyber ​​Risk Information Sharing Program (CRISP) – einer öffentlich-privaten Partnerschaft, die Teilnehmern aus der US-amerikanischen Elektrizitätswirtschaft relevante und umsetzbare Cybersicherheitsinformationen bereitstellt – sowie Ausgaben im Zusammenhang mit der internen Netzwerksicherheitsüberwachung der Cybersysteme des Versorgungsunternehmens.

2. Einzelfallansatz:

Um es Versorgungsunternehmen zu ermöglichen, Anreize für maßgeschneiderte Lösungen zu fordern, wird FERC von Fall zu Fall auch Ausgaben für Cybersicherheit bewerten, die nicht in der PQ-Liste aufgeführt sind. Gemäß dieser Richtlinie wird FERC es Versorgungsunternehmen ermöglichen, für einen Zeitraum zwischen der Genehmigung der Standards durch FERC und ihrem Inkrafttreten Anreize für Cybersicherheitsinvestitionen zu erhalten, die im Rahmen ihrer Einhaltung der NERC-Zuverlässigkeitsstandards für Cybersicherheit getätigt werden.

Der Regel zufolge erfordern andere potenzielle Investitionen, die noch nicht von der Kommission definiert wurden, „ein hohes Maß an Vertrauen, dass solche Gegenstände wahrscheinlich die Cybersicherheit für alle Versorgungsunternehmen wesentlich verbessern werden“. FERC wird die Liste der vorab qualifizierten Investitionen regelmäßig neu bewerten.

Warum ist dieses Programm für Energieversorger von entscheidender Bedeutung?

Da Versorgungsunternehmen in der Vergangenheit nicht in der Lage waren, veraltete Ressourcen durch moderne Sicherheitskontrollen zu schützen, ist das US-Stromnetz ein besonders attraktives Ziel für böswillige Akteure. Indem sie es versäumen, einen proaktiveren Ansatz für die Sicherheit zu verfolgen, bieten sie Bedrohungsakteuren unbeabsichtigt die Möglichkeit, in Ressourcen einzudringen, was das Risiko einer Betriebsunterbrechung zur Folge hat. Da diese Sicherheitskontrollen nicht vorhanden sind, haben Versorgungsunternehmen auch Schwierigkeiten, bestehende Branchenvorschriften und -standards einzuhalten.

Gemäß einer Forschungsbericht des Cybersicherheitsunternehmens Black Kite, über 25 % der 150 führenden US-Energieunternehmen sind sehr anfällig dafür Ransomware Anschläge. Da die Zahl der Cyberangriffe auf das Stromnetz zunimmt, ist die Einführung anreizbasierter Tarife für Versorgungsunternehmen, die in fortschrittliche Cybersicherheitstechnologien investieren, ein Schritt in die richtige Richtung, wenn es darum geht, Versorgungsunternehmen bei der Modernisierung ihrer Infrastruktur, der Verhinderung von Vorfällen und der Einhaltung von Vorschriften zu unterstützen mit Anforderungen.

Ultraschall Silverfort Kann Versorgungsunternehmen dabei helfen, ihre Investitionen in Cybersicherheit zu maximieren

Die Anziehungskraft von Initiativen für saubere Energie führt dazu, dass Energieversorger sich der digitalen Transformation zuwenden. Infolgedessen verändern neue Innovationen die Energieversorger rasant. Für viele Energiebehörden werden diese Vorteile jedoch durch zunehmende Cybersicherheitsrisiken überschattet.

Die Folgen dieser beunruhigenden Realität haben sich in den letzten Jahren bereits in äußerst verheerenden, staatlich geförderten Angriffen auf Stromnetze manifestiert. Um diese Risiken zu mindern und letztendlich die Cyber- und Betriebsstabilität zu erhöhen, müssen alle Segmente der Energieversorgungsbranche eine ganzheitliche Cyber-Sicherheitsstrategie verfolgen, die den Zugriff der Benutzer auf kritische Ressourcen schützt. Das ist wo Silverfort ins Spiel kommt.

Silverfort hat die erste speziell entwickelte Unified Identity Protection-Plattform entwickelt, die erweitert werden kann MFA an jeden Benutzer und jede Ressource; Automatisieren Sie die Erkennung, Überwachung und den Schutz von Dienstkonten. und verhindern Sie proaktiv Lateral-Movement- und Ransomware-Angriffe. Silverfort stellt eine Verbindung zu allen Domänencontrollern und anderen lokalen Identitätsanbietern (IdPs) in der Umgebung her, um eine kontinuierliche Überwachung, Risikoanalyse und Durchsetzung von Zugriffsrichtlinien zu ermöglichen Beglaubigung und Zugriffsversuche von Benutzern, Administratoren oder Dienstkonten.

Durch die Nutzung Silverfort Identitätsschutz Mit der Plattform können sich Versorgungsunternehmen besser auf die Einhaltung der FERC-Cybersicherheitsregeln vorbereiten, um sich für eine anreizbasierte Tarifbehandlung zu qualifizieren. Benutzen Silverfortist regelbasiert und risikobasierte Authentifizierung und MFA-Authentifizierungsfunktionen können die Cybersicherheitslage von Versorgungsunternehmen erheblich verbessern, indem sie sie vor einer erweiterten Bedrohungslandschaft schützen und sicherstellen, dass sie Cyber-resistent sind.

Möchten Sie Ihre Widerstandsfähigkeit gegenüber Identitätsbedrohungen erhöhen und am FERC-Programm „Advanced Cybersecurity Investment“ teilnehmen? Termin vereinbaren mit einem unserer Experten.