L’évolution constante des cybermenaces a rendu beaucoup plus difficile pour les organisations de protéger leur identité et de sécuriser l’accès à toutes les ressources. Cela est particulièrement vrai dans le secteur des services publics, qui continue de connaître une augmentation des cyberattaques qui menacent sa fiabilité.
En réponse à une directive du Congrès visant à faire face à cette menace croissante, la Federal Energy Regulatory Commission (FERC) a récemment révisé sa réglementation pour offrir aux services publics la possibilité de bénéficier d'un recouvrement de tarifs incitatif lorsqu'ils effectuent certains investissements pré-qualifiés en matière de cybersécurité ou se joignent à une menace. programme de partage d’informations. Ces investissements profiteront aux consommateurs en encourageant les services publics à investir dans un programme de technologies avancées de cybersécurité et à participer à des programmes de partage d'informations sur les menaces de cybersécurité, comme indiqué par le Loi sur l'investissement dans les infrastructures et l'emploi (IIJA) de 2021.
Dans cet article, nous expliquerons ce qu'impliquent les incitations pour le programme Advanced Cybersecurity Investment et comment Silverfort peut aider les services publics à profiter des incitations de la FERC et à investir dans des solutions telles que Silverfort.
Qu'est-ce que le programme d'investissement avancé en cybersécurité ?
Le 3 juillet 2023, les services publics des États-Unis sont devenus éligibles pour rejoindre le Programme d’incitations pour les investissements avancés en cybersécurité, un cadre volontaire de cyberincitations établi par la Commission fédérale de réglementation de l'énergie dans le cadre de la loi sur l'investissement dans les infrastructures et l'emploi élaborée par l'administration Biden.
L'ordre propose un programme d'incitation pour les investissements qualifiés dans la cybersécurité. Grâce à cet incitatif, les services publics pourront réclamer un recouvrement différé des coûts pour les investissements éligibles en cybersécurité, permettant ainsi aux services publics d’inclure la partie non amortie dans leur base tarifaire. Cette incitation s'applique aux dépenses telles que les coûts d'exploitation et de maintenance, les coûts de main-d'œuvre, les coûts de mise en œuvre, les coûts de surveillance du réseau, les coûts de formation et les coûts de logiciel en tant que service (SaaS).
Dans le cadre du programme, les dépenses et les investissements en capital sont associés à une technologie avancée de cybersécurité ainsi qu'à la participation à un programme de partage d'informations sur les menaces de cybersécurité. L'article 219A de la Federal Power Act (FPA) définit la technologie avancée de cybersécurité comme « toute technologie, capacité opérationnelle ou service, y compris le matériel informatique, les logiciels ou les actifs associés, qui améliore la posture de sécurité des services publics grâce à des améliorations de la capacité de protection. contre, détecter, répondre ou se remettre d’une menace de cybersécurité.
La nouvelle règle atténue également l’un des principaux défis auxquels sont confrontés les propriétaires et exploitants d’infrastructures critiques : le manque de ressources financières disponibles pour investir dans la cybersécurité.
Admissibilité au programme d’investissement avancé en cybersécurité
Afin de bénéficier d'un traitement tarifaire incitatif, la FERC exige que les services publics d'énergie alignent leurs investissements en cybersécurité sur les critères suivants :
- Augmente la cybersécurité soit en mettant en œuvre une technologie avancée de cybersécurité, soit en participant à un programme de partage d'informations sur les menaces.
- N'est pas déjà mandaté par les normes de fiabilité (les normes de fiabilité du NERC définissent les exigences de fiabilité pour la planification et l'exploitation du système d'alimentation en vrac nord-américain.), ou autrement mandaté par une loi, une décision ou une directive locale, étatique ou fédérale ; par ailleurs légalement mandaté ; ou une mesure prise en réponse à une condition de fusion d'une agence fédérale ou étatique, à un décret de consentement d'une agence fédérale ou étatique ou à un accord de règlement qui résout un différend entre un service public et une partie publique ou privée.
De plus, le programme définit une période pendant laquelle les services publics peuvent demander un traitement incitatif pour un investissement particulier. Plus précisément, un service public ne peut pas demander un traitement incitatif s'il a déjà engagé des coûts pour l'investissement pendant plus de trois mois avant de déposer la demande d'incitation.
L'avis de proposition de réglementation (NOPR) a établi deux cadres pour identifier les types de dépenses éligibles à une incitation :
1. Approche de liste pré-qualifiée (PQ) :
La liste PQ comprendra les dépenses dans le cadre du Cyber Risk Information Sharing Program (CRISP) – un partenariat public-privé qui fournit des informations pertinentes et exploitables sur la cybersécurité aux participants du secteur électrique américain – ainsi que les dépenses associées à la surveillance interne de la sécurité des réseaux. des cybersystèmes du service public.
2. Approche au cas par cas :
Pour permettre aux services publics de demander des incitations pour des solutions personnalisées, la FERC évaluera également au cas par cas les dépenses en matière de cybersécurité non identifiées sur la liste PQ. Selon cette politique, la FERC permettra aux services publics de recevoir des incitatifs pour les investissements en cybersécurité effectués dans le cadre de leur conformité aux normes de fiabilité de la NERC liées à la cybersécurité pendant une période comprise entre le moment où les normes sont approuvées par la FERC et leur entrée en vigueur.
Selon la règle, d’autres investissements potentiels qui n’ont pas encore été définis par la Commission nécessitent « un degré élevé de confiance dans le fait que de tels éléments amélioreront probablement sensiblement la cybersécurité de tous les services publics ». La FERC réévaluera périodiquement la liste des investissements pré-qualifiés.
Pourquoi ce programme est-il essentiel pour les services publics d’électricité ?
Parce que les services publics ont toujours été incapables de protéger leurs ressources existantes avec des contrôles de sécurité modernes, le réseau électrique américain constitue une cible particulièrement attractive pour les acteurs malveillants. En n’adoptant pas une approche plus proactive en matière de sécurité, ils fournissent par inadvertance aux acteurs malveillants un moyen de pirater les ressources, ce qui entraîne un risque de perturbation opérationnelle. Parce que ces contrôles de sécurité ne sont pas en place, les services publics rencontrent également des difficultés à se conformer aux réglementations et normes existantes du secteur.
D’après une rapport de recherche de la société de cybersécurité Black Kite, plus de 25 % des 150 plus grandes sociétés énergétiques américaines sont très susceptibles ransomware attaques. Alors que le nombre de cyberattaques ciblant le réseau électrique augmente, la mise en place de tarifs incitatifs pour inciter les services publics à investir dans des technologies avancées de cybersécurité est un pas dans la bonne direction lorsqu'il s'agit d'aider les entreprises de services publics à moderniser leurs infrastructures, à prévenir les incidents et à se conformer. avec des exigences.
Comment Silverfort Peut aider les services publics à maximiser leurs investissements en matière de cybersécurité
L’essor des initiatives en matière d’énergie propre pousse les compagnies d’électricité à adopter la transformation numérique. En conséquence, de nouvelles innovations transforment rapidement les services publics d’électricité. Cependant, pour de nombreuses autorités électriques, ces avantages sont éclipsés par les risques croissants en matière de cybersécurité.
Les conséquences de cette réalité troublante se sont déjà manifestées ces dernières années par des attaques hautement perturbatrices contre les réseaux électriques, parrainées par l’État. Pour atténuer ces risques et, à terme, gagner en résilience cybernétique et opérationnelle, tous les segments du secteur des services publics d'électricité doivent adopter une stratégie de cybersécurité globale qui protège l'accès des utilisateurs aux ressources critiques. C'est ici que Silverfort entre en scène.
Silverfort a été le pionnier de la première plate-forme de protection unifiée des identités spécialement conçue qui peut étendre MFA à tout utilisateur et ressource ; automatiser la découverte, la surveillance et la protection des comptes de service ; et empêchez de manière proactive les mouvements latéraux et les attaques de propagation de ransomwares. Silverfort se connecte à tous les contrôleurs de domaine et autres fournisseurs d'identité (IdP) sur site dans l'environnement pour une surveillance continue, une analyse des risques et une application des politiques d'accès sur chaque protocoles d'authentification et tentative d'accès effectuée par les utilisateurs, les administrateurs ou les comptes de service.
En utilisant Silverfort's Protection de l'identité plateforme, les services publics peuvent mieux se préparer à se conformer aux règles de cybersécurité de la FERC afin de se qualifier pour un traitement tarifaire incitatif. En utilisant Silverfortest basé sur des règles et authentification basée sur les risques et les capacités d'authentification MFA peuvent améliorer considérablement la posture de cybersécurité des services publics en les protégeant contre un paysage de menaces élargi et en garantissant leur cyber-résilience.
Vous souhaitez augmenter votre résilience face aux menaces d’identité et vous aligner sur le programme d’investissement avancé en cybersécurité de la FERC ? Planifier un appel avec l'un de nos experts.