Cómo las empresas de servicios públicos pueden aprovechar los incentivos de la FERC

La constante evolución de las ciberamenazas ha hecho que sea mucho más difícil para las organizaciones proteger sus identidades y asegurar el acceso a todos los recursos. Esto es especialmente cierto en el sector de servicios públicos, que sigue experimentando un aumento de los ciberataques que amenazan su confiabilidad.

En respuesta a una directiva del Congreso para abordar esta creciente amenaza, la Comisión Federal Reguladora de Energía (FERC) revisó recientemente sus regulaciones para brindar a las empresas de servicios públicos la oportunidad de recibir una recuperación de tarifas basada en incentivos cuando realicen ciertas inversiones en ciberseguridad precalificadas o se unan a una amenaza. programa de intercambio de información. Estas inversiones beneficiarán a los consumidores al alentar a las empresas de servicios públicos a invertir en un programa de tecnología avanzada de ciberseguridad y participar en programas de intercambio de información sobre amenazas de ciberseguridad, según lo indicado por la Ley de Empleo e Inversión en Infraestructura (IIJA) de 2021.

En este post te explicaremos qué implican los incentivos del programa de Inversión Avanzada en Ciberseguridad y cómo Silverfort puede ayudar a las empresas de servicios públicos a aprovechar los incentivos de la FERC e invertir en soluciones como Silverfort.

¿Qué es el Programa de Inversión Avanzada en Ciberseguridad?

El 3 de julio de 2023, las empresas de servicios públicos de todo Estados Unidos pasaron a ser elegibles para unirse al Programa de Incentivos a la Inversión Avanzada en Ciberseguridad, un marco voluntario de incentivos cibernéticos establecido por la Comisión Federal Reguladora de Energía en virtud de la Ley de Empleo e Inversión en Infraestructura desarrollada por la administración Biden.

La orden ofrece un programa de incentivos para inversiones calificadas en ciberseguridad. Con este incentivo, las empresas de servicios públicos podrán reclamar la recuperación de costos diferidos para inversiones elegibles en ciberseguridad, lo que les permitirá incluir la parte no amortizada en su base tarifaria. Este incentivo se aplica a gastos como costos de operación y mantenimiento, costos laborales, costos de implementación, costos de monitoreo de red, costos de capacitación y costos de software como servicio (SaaS).

Como parte del programa, los gastos y las inversiones de capital están asociados con tecnología avanzada de ciberseguridad, así como la participación en un programa de intercambio de información sobre amenazas de ciberseguridad. La Sección 219A de la Ley Federal de Energía (FPA) define la Tecnología de Ciberseguridad Avanzada como “cualquier tecnología, capacidad operativa o servicio, incluido hardware, software o activos relacionados, que mejore la postura de seguridad de los servicios públicos a través de mejoras en la capacidad de proteger contra, detectar, responder o recuperarse de una amenaza de ciberseguridad”.

La nueva norma también alivia uno de los principales desafíos que enfrentan los propietarios y operadores de infraestructura crítica: la falta de recursos financieros disponibles para invertir en ciberseguridad.

Elegibilidad para el Programa de Inversión Avanzada en Ciberseguridad

Para calificar para un tratamiento tarifario basado en incentivos, la FERC requiere que las empresas de energía alineen sus inversiones en ciberseguridad con los siguientes criterios:

1. Aumenta la ciberseguridad ya sea implementando tecnología de ciberseguridad avanzada o participando en un programa de intercambio de información sobre amenazas.
2. No esté ya exigido por los Estándares de confiabilidad (los Estándares de confiabilidad NERC definen los requisitos de confiabilidad para la planificación y operación del sistema de energía a granel de América del Norte), o de otro modo exigido por ley, decisión o directiva local, estatal o federal; por mandato legal de otro modo; o una acción tomada en respuesta a una condición de fusión de una agencia federal o estatal, un decreto de consentimiento de una agencia federal o estatal, o un acuerdo de conciliación que resuelve una disputa entre una empresa de servicios públicos y una parte pública o privada

Además, el programa definió un período de tiempo durante el cual las empresas de servicios públicos pueden buscar un tratamiento de incentivo para una inversión en particular. Específicamente, una empresa de servicios públicos no puede solicitar un tratamiento de incentivo si ya ha incurrido en costos de inversión durante más de tres meses antes de presentar la solicitud de incentivo.

El Aviso de reglamentación propuesta (NOPR) estableció dos marcos para identificar los tipos de gastos elegibles para un incentivo:

1. Enfoque de lista precalificada (PQ):

La lista PQ incluirá gastos como parte del Programa de Intercambio de Información sobre Riesgos Cibernéticos (CRISP), una asociación público-privada que proporciona información de ciberseguridad relevante y procesable a los participantes de la industria eléctrica de los Estados Unidos, así como gastos asociados con el monitoreo de la seguridad de la red interna. de los sistemas cibernéticos de la empresa de servicios públicos.

2. Enfoque caso por caso:

Para permitir que las empresas de servicios públicos soliciten incentivos para soluciones personalizadas, la FERC también evaluará caso por caso los gastos en ciberseguridad no identificados en la lista de PQ. De acuerdo con esta política, la FERC permitirá que las empresas de servicios públicos reciban incentivos por las inversiones en ciberseguridad realizadas como parte de su cumplimiento de los estándares de confiabilidad NERC relacionados con la ciberseguridad durante un período de tiempo entre el momento en que los estándares son aprobados por la FERC y su entrada en vigencia.

Según la regla, otras inversiones potenciales que aún no han sido definidas por la Comisión requieren "un alto grado de confianza en que dichos elementos probablemente mejorarán materialmente la ciberseguridad para todas las empresas de servicios públicos". La FERC reevaluará periódicamente la lista de inversiones precalificadas.

¿Por qué este programa es fundamental para las empresas de servicios eléctricos?

Dado que históricamente las empresas de servicios públicos no han podido proteger los recursos heredados con controles de seguridad modernos, la red eléctrica de EE. UU. es un objetivo especialmente atractivo para actores malintencionados. Al no adoptar un enfoque más proactivo en materia de seguridad, sin darse cuenta, están proporcionando a los actores de amenazas una forma de violar los recursos, lo que genera el riesgo de interrupción operativa. Debido a que estos controles de seguridad no existen, las organizaciones de servicios públicos también encuentran dificultades para cumplir con las regulaciones y estándares existentes de la industria.

De acuerdo a una Informe de investigación de la empresa de ciberseguridad Black Kite, más del 25% de las 150 principales empresas energéticas de EE. UU. son muy susceptibles a ransomware ataques. A medida que aumenta el número de ciberataques dirigidos a la red eléctrica, el establecimiento de tratamientos tarifarios basados ​​en incentivos para que las empresas de servicios públicos inviertan en tecnologías avanzadas de ciberseguridad es un paso en la dirección correcta cuando se trata de ayudar a las empresas de servicios públicos a modernizar su infraestructura, prevenir incidentes y cumplir. con requisitos.

Cómo Silverfort Puede ayudar a las empresas de servicios públicos a maximizar las inversiones en ciberseguridad

La tracción de las iniciativas de energía limpia está provocando que las empresas de energía eléctrica adopten la transformación digital. Como resultado, nuevas innovaciones están transformando rápidamente las empresas de servicios eléctricos. Sin embargo, para muchas autoridades energéticas, estos beneficios se ven eclipsados ​​por los crecientes riesgos de ciberseguridad.

Las consecuencias de esta problemática realidad ya se han manifestado en los últimos años como ataques altamente perturbadores patrocinados por el Estado contra las redes eléctricas. Para mitigar estos riesgos y, en última instancia, ganar resiliencia cibernética y operativa, todos los segmentos de la industria de servicios eléctricos deben adoptar una estrategia holística de ciberseguridad que proteja el acceso de los usuarios a recursos críticos. Aquí es donde Silverfort entra en juego.

Silverfort ha sido pionero en la primera plataforma de protección de identidad unificada especialmente diseñada que puede ampliar MFA a cualquier usuario y recurso; automatizar el descubrimiento, monitoreo y protección de cuentas de servicio; y prevenir de forma proactiva el movimiento lateral y los ataques de propagación de ransomware. Silverfort se conecta a todos los controladores de dominio y otros proveedores de identidades (IdP) locales en el entorno para monitoreo continuo, análisis de riesgos y aplicación de políticas de acceso en cada autenticación e intentos de acceso realizados por usuarios, administradores o cuentas de servicio.

Utilizando Silverfort, Protección de la identidad plataforma, las empresas de servicios públicos pueden prepararse mejor para cumplir con las reglas de ciberseguridad de la FERC a fin de calificar para un tratamiento tarifario basado en incentivos. Usando Silverfortestá basado en reglas y autenticación basada en riesgos y las capacidades de autenticación MFA pueden mejorar significativamente la postura de ciberseguridad de las empresas de servicios públicos al protegerlas contra un panorama de amenazas ampliado y garantizar que sean ciberresilientes.

¿Quiere aumentar su resiliencia ante las amenazas de identidad y estar alineado con el programa de Inversión Avanzada en Ciberseguridad de FERC? Programar una llamada con uno de nuestros expertos.