ภัยคุกคามทางไซเบอร์ที่มีวิวัฒนาการอย่างต่อเนื่องทำให้องค์กรต่างๆ ต้องเผชิญกับความท้าทายมากขึ้นในการปกป้องข้อมูลประจำตัวและเข้าถึงทรัพยากรทั้งหมดอย่างปลอดภัย นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งในภาคสาธารณูปโภคซึ่ง ยังคงประสบกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง ที่คุกคามความน่าเชื่อถือของมัน
เพื่อตอบสนองต่อคำสั่งของรัฐสภาเพื่อจัดการกับภัยคุกคามที่เพิ่มขึ้นนี้ คณะกรรมการกำกับดูแลพลังงานของรัฐบาลกลาง (FERC) ได้แก้ไขกฎระเบียบเมื่อเร็ว ๆ นี้เพื่อให้ระบบสาธารณูปโภคมีโอกาสที่จะได้รับการฟื้นฟูตามอัตราสิ่งจูงใจ เมื่อพวกเขาทำการลงทุนด้านความปลอดภัยทางไซเบอร์ที่ผ่านการรับรองเบื้องต้นหรือเข้าร่วมภัยคุกคาม โปรแกรมแบ่งปันข้อมูล การลงทุนเหล่านี้จะเป็นประโยชน์ต่อผู้บริโภคโดยการสนับสนุนให้สาธารณูปโภคลงทุนในโครงการเทคโนโลยีความปลอดภัยทางไซเบอร์ขั้นสูง และเข้าร่วมในโครงการแบ่งปันข้อมูลภัยคุกคามความปลอดภัยทางไซเบอร์ ตามคำแนะนำของ พระราชบัญญัติการลงทุนโครงสร้างพื้นฐานและงาน (IIJA) จาก 2021
ในโพสต์นี้ เราจะอธิบายว่าสิ่งจูงใจสำหรับโปรแกรม Advanced Cybersecurity Investment คืออะไรและอย่างไร Silverfort สามารถช่วยให้ระบบสาธารณูปโภคใช้ประโยชน์จากสิ่งจูงใจของ FERC และลงทุนในโซลูชั่นต่างๆ เช่น Silverfort.
โปรแกรมการลงทุนด้านความปลอดภัยทางไซเบอร์ขั้นสูงคืออะไร?
เมื่อวันที่ 3 กรกฎาคม 2023 ระบบสาธารณูปโภคทั่วสหรัฐอเมริกามีสิทธิ์เข้าร่วม สิ่งจูงใจสำหรับโปรแกรมการลงทุนด้านความปลอดภัยทางไซเบอร์ขั้นสูงซึ่งเป็นกรอบงานแรงจูงใจทางไซเบอร์โดยสมัครใจที่จัดตั้งขึ้นโดยคณะกรรมการกำกับดูแลพลังงานของรัฐบาลกลางภายใต้พระราชบัญญัติการลงทุนโครงสร้างพื้นฐานและงานซึ่งพัฒนาโดยฝ่ายบริหารของ Biden
คำสั่งดังกล่าวเสนอโปรแกรมสิ่งจูงใจสำหรับการลงทุนที่มีคุณสมบัติด้านความปลอดภัยทางไซเบอร์ การใช้สิ่งจูงใจนี้ สาธารณูปโภคต่างๆ จะสามารถเรียกร้องการขอคืนต้นทุนรอตัดบัญชีสำหรับการลงทุนด้านความปลอดภัยทางไซเบอร์ที่เข้าเกณฑ์ ซึ่งช่วยให้ระบบสาธารณูปโภครวมส่วนที่ยังไม่ได้ตัดจำหน่ายไว้ในฐานอัตราของพวกเขา สิ่งจูงใจนี้ใช้กับค่าใช้จ่ายต่างๆ เช่น ค่าใช้จ่ายในการดำเนินงานและบำรุงรักษา ค่าแรง ค่าใช้จ่ายในการดำเนินการ ค่าใช้จ่ายในการตรวจสอบเครือข่าย ค่าใช้จ่ายในการฝึกอบรม และต้นทุนซอฟต์แวร์ตามบริการ (SaaS)
ส่วนหนึ่งของโครงการนี้ ค่าใช้จ่ายและการลงทุนมีความเกี่ยวข้องกับเทคโนโลยีความปลอดภัยทางไซเบอร์ขั้นสูง รวมถึงการเข้าร่วมในโครงการแบ่งปันข้อมูลภัยคุกคามทางไซเบอร์ มาตรา 219A ของ Federal Power Act (FPA) ให้คำจำกัดความของเทคโนโลยีความปลอดภัยทางไซเบอร์ขั้นสูงว่าเป็น “เทคโนโลยี ความสามารถในการปฏิบัติงาน หรือบริการใดๆ รวมถึงฮาร์ดแวร์คอมพิวเตอร์ ซอฟต์แวร์ หรือทรัพย์สินที่เกี่ยวข้อง ซึ่งช่วยเพิ่มมาตรการรักษาความปลอดภัยของสาธารณูปโภคผ่านการปรับปรุงความสามารถในการปกป้อง ต่อต้าน ตรวจจับ ตอบสนอง หรือกู้คืนจากภัยคุกคามความปลอดภัยทางไซเบอร์”
กฎใหม่ยังช่วยบรรเทาความท้าทายหลักประการหนึ่งที่เจ้าของและผู้ดำเนินการโครงสร้างพื้นฐานที่สำคัญต้องเผชิญ นั่นคือการขาดแคลน ทางการเงิน ทรัพยากรสำหรับการลงทุนด้านความปลอดภัยทางไซเบอร์
สิทธิ์สำหรับโปรแกรมการลงทุนด้านความปลอดภัยทางไซเบอร์ขั้นสูง
เพื่อให้มีคุณสมบัติรับการรักษาตามอัตราสิ่งจูงใจ FERC กำหนดให้สาธารณูปโภคด้านพลังงานจัดการลงทุนด้านความปลอดภัยทางไซเบอร์ให้สอดคล้องกับเกณฑ์ต่อไปนี้:
- เพิ่มความปลอดภัยทางไซเบอร์โดยการนำเทคโนโลยีความปลอดภัยทางไซเบอร์ขั้นสูงมาใช้หรือเข้าร่วมในโปรแกรมแบ่งปันข้อมูลภัยคุกคาม
- ไม่ได้รับคำสั่งจากมาตรฐานความน่าเชื่อถือ (มาตรฐานความน่าเชื่อถือของ NERC กำหนดข้อกำหนดด้านความน่าเชื่อถือสำหรับการวางแผนและการปฏิบัติการระบบไฟฟ้าจำนวนมากในอเมริกาเหนือ) หรือได้รับคำสั่งจากกฎหมาย การตัดสินใจ หรือคำสั่งของท้องถิ่น รัฐ หรือรัฐบาลกลาง อย่างอื่นได้รับคำสั่งตามกฎหมาย; หรือการดำเนินการเพื่อตอบสนองต่อเงื่อนไขการควบรวมกิจการของหน่วยงานของรัฐบาลกลางหรือของรัฐ คำสั่งยินยอมจากหน่วยงานของรัฐบาลกลางหรือของรัฐ หรือข้อตกลงการตั้งถิ่นฐานที่แก้ไขข้อพิพาทระหว่างสาธารณูปโภคกับฝ่ายสาธารณะหรือเอกชน
นอกจากนี้ โปรแกรมยังกำหนดระยะเวลาในระหว่างที่ระบบสาธารณูปโภคอาจแสวงหาสิ่งจูงใจสำหรับการลงทุนโดยเฉพาะ โดยเฉพาะอย่างยิ่ง ยูทิลิตี้อาจไม่ร้องขอการรักษาสิ่งจูงใจ หากมีค่าใช้จ่ายที่เกิดขึ้นสำหรับการลงทุนมานานกว่าสามเดือนก่อนที่จะยื่นใบสมัครสิ่งจูงใจ
ประกาศการกำหนดกฎเกณฑ์ที่เสนอ (NOPR) ได้กำหนดกรอบการทำงานสองแบบเพื่อระบุประเภทของค่าใช้จ่ายที่มีสิทธิ์ได้รับสิ่งจูงใจ:
1. วิธีการรายการคุณสมบัติเบื้องต้น (PQ):
รายการ PQ จะรวมค่าใช้จ่ายซึ่งเป็นส่วนหนึ่งของโครงการแบ่งปันข้อมูลความเสี่ยงทางไซเบอร์ (CRISP) ซึ่งเป็นความร่วมมือระหว่างภาครัฐและเอกชนที่ให้ข้อมูลความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องและนำไปปฏิบัติได้แก่ผู้เข้าร่วมจากอุตสาหกรรมไฟฟ้าของสหรัฐอเมริกา ตลอดจนค่าใช้จ่ายที่เกี่ยวข้องกับการตรวจสอบความปลอดภัยของเครือข่ายภายใน ของระบบไซเบอร์ของยูทิลิตี้
2. แนวทางเป็นรายกรณี:
เพื่อให้ระบบสาธารณูปโภคสามารถขอสิ่งจูงใจสำหรับโซลูชันที่ออกแบบโดยเฉพาะ FERC จะประเมินค่าใช้จ่ายด้านความปลอดภัยทางไซเบอร์ที่ไม่ได้ระบุไว้ในรายการ PQ เป็นรายกรณี ตามนโยบายนี้ FERC จะอนุญาตให้สาธารณูปโภคได้รับสิ่งจูงใจสำหรับการลงทุนด้านความปลอดภัยทางไซเบอร์ ซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามมาตรฐานความน่าเชื่อถือของ NERC ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ในช่วงเวลาหนึ่งระหว่างเวลาที่มาตรฐานได้รับการอนุมัติโดย FERC และเวลาที่มาตรฐานมีผลบังคับใช้
ตามกฎแล้ว การลงทุนที่เป็นไปได้อื่น ๆ ที่ยังไม่ได้กำหนดโดยคณะกรรมาธิการจำเป็นต้องมี “ความมั่นใจในระดับสูงว่ารายการดังกล่าวมีแนวโน้มที่จะปรับปรุงความปลอดภัยทางไซเบอร์สำหรับสาธารณูปโภคทั้งหมดอย่างมีนัยสำคัญ” FERC จะประเมินรายการการลงทุนที่ผ่านการรับรองเบื้องต้นอีกครั้งเป็นระยะๆ
เหตุใดโปรแกรมนี้จึงมีความสำคัญต่อระบบสาธารณูปโภคด้านไฟฟ้า?
เนื่องจากที่ผ่านมาระบบสาธารณูปโภคไม่สามารถปกป้องทรัพยากรแบบเดิมด้วยการควบคุมความปลอดภัยที่ทันสมัยได้ ระบบไฟฟ้าของสหรัฐอเมริกาจึงเป็นเป้าหมายที่น่าสนใจเป็นพิเศษสำหรับผู้ไม่ประสงค์ดี หากล้มเหลวในการใช้แนวทางเชิงรุกในการรักษาความปลอดภัย พวกเขากำลังจัดหาช่องทางในการละเมิดทรัพยากรให้กับผู้คุกคามโดยไม่ได้ตั้งใจ ซึ่งส่งผลให้เกิดความเสี่ยงต่อการหยุดชะงักในการปฏิบัติงาน เนื่องจากไม่มีการควบคุมความปลอดภัยเหล่านี้ องค์กรด้านสาธารณูปโภคจึงประสบปัญหาในการปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรมที่มีอยู่
ตาม รายงานการวิจัยโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Black Kiteมากกว่า 25% ของบริษัทพลังงานชั้นนำ 150 แห่งของสหรัฐฯ มีความอ่อนไหวอย่างมากต่อ ransomware การโจมตี เนื่องจากจำนวนการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่โครงข่ายไฟฟ้าเพิ่มขึ้น การจัดตั้งมาตรการรักษาอัตราตามสิ่งจูงใจสำหรับสาธารณูปโภคเพื่อลงทุนในเทคโนโลยีความปลอดภัยทางไซเบอร์ขั้นสูงถือเป็นก้าวไปในทิศทางที่ถูกต้องในการช่วยให้บริษัทสาธารณูปโภคปรับปรุงโครงสร้างพื้นฐานให้ทันสมัย ป้องกันเหตุการณ์ และปฏิบัติตาม มีข้อกำหนด
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort สามารถช่วยให้สาธารณูปโภคเพิ่มการลงทุนด้านความปลอดภัยทางไซเบอร์ได้สูงสุด
แรงผลักดันของความคิดริเริ่มด้านพลังงานสะอาดทำให้บริษัทพลังงานไฟฟ้ายอมรับการเปลี่ยนแปลงทางดิจิทัล ส่งผลให้นวัตกรรมใหม่ๆ กำลังเปลี่ยนแปลงระบบสาธารณูปโภคด้านไฟฟ้าอย่างรวดเร็ว อย่างไรก็ตาม สำหรับหน่วยงานด้านพลังงานหลายแห่ง ประโยชน์เหล่านี้ถูกบดบังด้วยความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น
ผลที่ตามมาของความเป็นจริงที่น่าลำบากนี้ได้แสดงให้เห็นแล้วในช่วงไม่กี่ปีที่ผ่านมาว่าเป็นการโจมตีโครงข่ายไฟฟ้าที่รัฐให้การสนับสนุนอย่างก่อกวน เพื่อลดความเสี่ยงเหล่านี้และท้ายที่สุด เพื่อให้ได้รับความยืดหยุ่นทางไซเบอร์และการดำเนินงาน ทุกส่วนของอุตสาหกรรมสาธารณูปโภคไฟฟ้าต้องใช้กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์แบบองค์รวมที่ปกป้องการเข้าถึงทรัพยากรที่สำคัญของผู้ใช้ นี่คือที่ Silverfort เข้ามาเล่น
Silverfort ได้บุกเบิกแพลตฟอร์ม Unified Identity Protection ที่สร้างขึ้นโดยเฉพาะแห่งแรกที่สามารถขยายได้ MFA ได้ทุกที่ แก่ผู้ใช้และทรัพยากรใดๆ ทำให้การค้นหา การตรวจสอบ และการปกป้องบัญชีบริการเป็นแบบอัตโนมัติ และป้องกันการเคลื่อนไหวด้านข้างและการโจมตีที่แพร่กระจายของแรนซัมแวร์ในเชิงรุก Silverfort เชื่อมต่อกับตัวควบคุมโดเมนทั้งหมดและผู้ให้บริการข้อมูลประจำตัวภายในองค์กร (IdP) อื่นๆ ในสภาพแวดล้อมเพื่อการตรวจสอบอย่างต่อเนื่อง การวิเคราะห์ความเสี่ยง และการเข้าถึงการบังคับใช้นโยบายในทุก ๆ การรับรอง และความพยายามในการเข้าถึงโดยผู้ใช้ ผู้ดูแลระบบ หรือบัญชีบริการ
โดยการใช้ประโยชน์ Silverfort's การป้องกันตัว สาธารณูปโภคสามารถเตรียมตัวให้สอดคล้องกับกฎความปลอดภัยทางไซเบอร์ของ FERC ได้ดีขึ้น เพื่อให้มีคุณสมบัติรับการรักษาตามอัตราสิ่งจูงใจ โดยใช้ Silverfortตามกฎเกณฑ์และ การตรวจสอบตามความเสี่ยง และความสามารถในการตรวจสอบความถูกต้องของ MFA สามารถปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ของระบบสาธารณูปโภคได้อย่างมาก โดยการปกป้องพวกเขาจากขอบเขตภัยคุกคามที่ขยายออกไป และสร้างความมั่นใจว่าพวกเขาจะมีความยืดหยุ่นทางไซเบอร์
ต้องการเพิ่มความยืดหยุ่นต่อภัยคุกคามข้อมูลส่วนบุคคลและสอดคล้องกับโปรแกรม Advanced Cybersecurity Investment ของ FERC หรือไม่ กำหนดเวลาการโทร กับหนึ่งในผู้เชี่ยวชาญของเรา