Como as empresas de serviços públicos podem aproveitar as vantagens dos incentivos da FERC

A constante evolução das ameaças cibernéticas tornou muito mais desafiador para as organizações protegerem as suas identidades e garantirem o acesso a todos os recursos. Isto é especialmente verdadeiro no setor de serviços públicos, que continua a experimentar um aumento nos ataques cibernéticos que ameaçam sua confiabilidade.

Em resposta a uma directiva do Congresso para enfrentar esta ameaça crescente, a Comissão Federal Reguladora de Energia (FERC) revisou recentemente os seus regulamentos para fornecer às empresas de serviços públicos a oportunidade de receberem uma recuperação de taxas baseada em incentivos quando fazem certos investimentos pré-qualificados em segurança cibernética ou se juntam a uma ameaça. programa de compartilhamento de informações. Esses investimentos beneficiarão os consumidores, incentivando as empresas de serviços públicos a investirem em um programa de tecnologia avançada de segurança cibernética e a participarem de programas de compartilhamento de informações sobre ameaças à segurança cibernética, conforme orientado pelo Lei de Investimentos e Empregos em Infraestrutura (IIJA) de 2021.

Neste post, explicaremos o que envolvem os incentivos para o programa de Investimento Avançado em Segurança Cibernética e como Silverfort pode ajudar as concessionárias a aproveitar os incentivos da FERC e a investir em soluções como Silverfort.

O que é o Programa Avançado de Investimento em Cibersegurança?

Em 3 de julho de 2023, concessionárias de serviços públicos em todos os Estados Unidos tornaram-se elegíveis para aderir ao Programa de incentivos para investimentos avançados em segurança cibernética, uma estrutura voluntária de incentivos cibernéticos estabelecida pela Comissão Federal de Regulação de Energia no âmbito da Lei de Investimentos e Empregos em Infraestrutura desenvolvida pela administração Biden.

O pedido oferece um programa de incentivo para investimentos qualificados em segurança cibernética. Usando este incentivo, as concessionárias poderão reivindicar recuperação de custos diferida para investimentos elegíveis em segurança cibernética, permitindo que as concessionárias incluam a parcela não amortizada em sua base tarifária. Este incentivo aplica-se a despesas como custos de operação e manutenção, custos de mão-de-obra, custos de implementação, custos de monitorização de rede, custos de formação e custos de software como serviço (SaaS).

Como parte do programa, as despesas e os investimentos de capital estão associados à tecnologia avançada de segurança cibernética, bem como à participação num programa de partilha de informações sobre ameaças à segurança cibernética. A Seção 219A da Federal Power Act (FPA) define Tecnologia Avançada de Segurança Cibernética como “qualquer tecnologia, capacidade operacional ou serviço, incluindo hardware de computador, software ou ativos relacionados, que melhore a postura de segurança dos serviços públicos por meio de melhorias na capacidade de proteger contra, detectar, responder ou se recuperar de uma ameaça à segurança cibernética.”

A nova regra também alivia um dos principais desafios enfrentados pelos proprietários e operadores de infraestruturas críticas: a falta de recursos financeiros disponíveis para investir em segurança cibernética.

Elegibilidade para o Programa Avançado de Investimento em Segurança Cibernética

Para se qualificarem para o tratamento tarifário baseado em incentivos, a FERC exige que as empresas de energia alinhem os seus investimentos em segurança cibernética com os seguintes critérios:

1. Aumenta a segurança cibernética implementando tecnologia avançada de segurança cibernética ou participando de um programa de compartilhamento de informações sobre ameaças.
2. ainda não seja obrigatório pelos Padrões de Confiabilidade (os Padrões de Confiabilidade NERC definem os requisitos de confiabilidade para planejar e operar o sistema de energia em massa da América do Norte), ou de outra forma exigido por lei, decisão ou diretiva local, estadual ou federal; de outra forma legalmente obrigatório; ou uma ação tomada em resposta a uma condição de fusão de agência federal ou estadual, decreto de consentimento de uma agência federal ou estadual ou acordo de liquidação que resolva uma disputa entre uma concessionária e uma parte pública ou privada

Além disso, o programa definiu um período de tempo durante o qual as concessionárias podem buscar tratamento de incentivo para um determinado investimento. Especificamente, uma concessionária não pode solicitar tratamento de incentivo se já tiver incorrido em custos de investimento por mais de três meses antes de apresentar o pedido de incentivo.

O Aviso de Proposta de Regulamentação (NOPR) estabeleceu duas estruturas para identificar os tipos de despesas elegíveis para um incentivo:

1. Abordagem de lista pré-qualificada (PQ):

A lista PQ incluirá despesas como parte do Programa de Compartilhamento de Informações sobre Riscos Cibernéticos (CRISP) – uma parceria público-privada que fornece informações relevantes e acionáveis ​​sobre segurança cibernética aos participantes do setor elétrico dos Estados Unidos – bem como despesas associadas ao monitoramento da segurança da rede interna. dos sistemas cibernéticos da concessionária.

2. Abordagem caso a caso:

Para permitir que as empresas de serviços públicos solicitem incentivos para soluções personalizadas, a FERC também avaliará caso a caso as despesas com segurança cibernética não identificadas na lista PQ. De acordo com esta política, a FERC permitirá que os serviços públicos recebam incentivos para investimentos em segurança cibernética feitos como parte da sua conformidade com os padrões de fiabilidade NERC relacionados com a segurança cibernética durante um período de tempo entre o momento em que os padrões são aprovados pela FERC e quando se tornam efetivos.

De acordo com a regra, outros investimentos potenciais que ainda não foram definidos pela Comissão exigem “um elevado grau de confiança de que tais itens provavelmente melhorarão materialmente a segurança cibernética para todas as empresas de serviços públicos”. A FERC reavaliará periodicamente a lista de investimentos pré-qualificados.

Por que este programa é fundamental para concessionárias de energia elétrica?

Dado que as empresas de serviços públicos têm sido historicamente incapazes de proteger os recursos legados com controlos de segurança modernos, a rede eléctrica dos EUA é um alvo especialmente atraente para actores mal-intencionados. Ao não adotarem uma abordagem mais proativa à segurança, estão inadvertidamente a fornecer aos agentes da ameaça uma forma de violar recursos, resultando no risco de perturbação operacional. Como esses controles de segurança não estão implementados, as organizações de serviços públicos também enfrentam dificuldades em cumprir as regulamentações e padrões existentes do setor.

De acordo com uma relatório de pesquisa da empresa de segurança cibernética Black Kite, mais de 25% das 150 principais empresas de energia dos EUA são altamente suscetíveis a ransomware ataques. À medida que aumenta o número de ataques cibernéticos direcionados à rede elétrica, o estabelecimento de tratamentos tarifários baseados em incentivos para que os serviços públicos invistam em tecnologias avançadas de segurança cibernética é um passo na direção certa quando se trata de ajudar as empresas de serviços públicos a modernizarem a sua infraestrutura, prevenirem incidentes e cumprirem com requisitos.

Como funciona o dobrador de carta de canal Silverfort Pode ajudar as concessionárias a maximizar os investimentos em segurança cibernética

A tração das iniciativas de energia limpa está a fazer com que as empresas de energia elétrica adotem a transformação digital. Como resultado, novas inovações estão transformando rapidamente as concessionárias de energia elétrica. No entanto, para muitas autoridades energéticas, estes benefícios são ofuscados pelo aumento dos riscos de segurança cibernética.

As consequências desta realidade problemática já se manifestaram nos últimos anos como ataques altamente perturbadores patrocinados pelo Estado contra as redes eléctricas. Para mitigar estes riscos e, em última análise, ganhar resiliência cibernética e operacional, todos os segmentos da indústria dos serviços eléctricos devem adoptar uma estratégia holística de segurança cibernética que proteja o acesso dos utilizadores a recursos críticos. É aqui que Silverfort entra em jogo.

Silverfort foi pioneira na primeira plataforma de Proteção de Identidade Unificada desenvolvida especificamente que pode estender MFA para qualquer usuário e recurso; automatizar a descoberta, monitoramento e proteção de contas de serviço; e prevenir proativamente movimentos laterais e ataques de propagação de ransomware. Silverfort conecta-se a todos os controladores de domínio e outros provedores de identidade (IdPs) locais no ambiente para monitoramento contínuo, análise de risco e aplicação de políticas de acesso em todos os autenticação e tentativa de acesso feita por usuários, administradores ou contas de serviço.

Utilizando Silverfort'S Proteção de identidade plataforma, as concessionárias podem se preparar melhor para cumprir as regras de segurança cibernética da FERC, a fim de se qualificarem para o tratamento tarifário baseado em incentivos. Usando Silverforté baseado em regras e autenticação baseada em risco e os recursos de autenticação MFA podem melhorar significativamente a postura de segurança cibernética das concessionárias, protegendo-as contra um cenário de ameaças expandido e garantindo que sejam resilientes cibernéticas.

Quer aumentar a sua resiliência às ameaças de identidade e estar alinhado com o programa Advanced Cybersecurity Investment da FERC? Programar uma chamada com um de nossos especialistas.