A NERC CIP-015-1 előírásainak való megfelelés érdekében végrehajtott gyakorlati intézkedések

Évek óta a  NERC (Észak-Amerikai Villamosenergia-ellátás Biztonsági Társaság)  CIP-megfelelés elsősorban a határok védelmére összpontosított. A CIP-006 a fizikai hozzáférést szabályozta, a CIP-007 lezárta a portokat és szolgáltatásokat, a CIP-005 pedig meghatározta az ESP-t (elektronikus biztonsági határt). Az alapfeltevés az volt, hogy ha ellenőrzés alatt tartjuk, mi lép át a határon, akkor a kockázatot is kézben tartjuk. 

A CIP-015-1 elvetette ezt a feltételezést, és 2025 szeptemberétől hatályba lépett. Mivel az első jelentős megfelelési határidő 2028 szeptemberére esik, egyre fontosabbá válik a különbség a „elolvastuk a szabványt” és a „működőképes architektúránk van” között. 

A FERC (Szövetségi Energiaügyi Szabályozó Bizottság) 2025. június 26-án a 907. számú rendelettel jóváhagyta a NERC CIP-015-1 szabványt az INSM (Belső Hálózati Biztonsági Felügyelet) szabványként 2025. június 26-án, a 907. számú rendelettel. A szabvány 2025. szeptember 2-án lépett hatályba. A megfelelés határideje 2028. szeptember 2. a nagy hatással bíró BES (nagykereskedelmi villamosenergia-rendszer) kiberrendszerek és a közepes hatással bíró, vezérlőközpontokban ERC-vel (külső útválasztási kapcsolódás) rendelkező BES kiberrendszerek esetében. Minden egyéb érintett közepes hatással bíró rendszernek 2030. szeptember 2-ig kell megfelelnie a követelményeknek.

A legfontosabb követelmény működési szempontból jelentős:

• A villamosenergia-szolgáltatóknak figyelemmel kell kísérniük az ESP-jükön belüli forgalmat, nem csupán azt, hogy mi lép be és ki a határon.

• Az R1 előírja a szervezetek számára, hogy kockázatalapú megfontolások alapján gyűjtsenek hálózati adatokat, észleljék a rendellenes tevékenységeket, értékeljék az észlelt rendellenességeket, és a vizsgálatok lefolytatásához szükséges ideig őrizzék meg a kapcsolódó adatokat.

• Az R2 és R3 a megőrzött adatokhoz való hozzáférés védelmét és ellenőrzését szabályozza. 

A szabályozó hatóságok már előre tekintenek: a NERC-et arra utasították, hogy 2026 szeptemberéig bővítse a szabványt az ESP-n kívüli EACMS-ek (elektronikus beléptető- és felügyeleti rendszerek) és PACS-ek (fizikai beléptető rendszerek) lefedésére, amelyeka jövőbeli CIP-015-2 szabványban is szerepelnek. Ez a határidő már csak néhány hónapra van. 

Az INSM telepítése operatív technológiai (OT) környezetben nem azonos a SIEM (biztonsági információ- és eseménykezelő rendszer) vállalati adatközpontban történő telepítésével. A felügyeletnek passzívnak kell lennie, mivel az aktív szkennelés nem jöhet szóba működő ipari vezérlőrendszer-környezetekben. Gyakran széles körű protokollokat használnak, beleértve a Modbus, DNP3, IEC 61850, PROFINET és EtherNet/IP protokollokat, a szabványos IP-forgalom mellett. Az eszközleltárak gyakran hiányosak, ami azt jelenti, hogy az INSM-projektek általában a felderítéssel kezdődnek, mielőtt bármilyen észlelés lehetséges lenne. Ezen felül a felügyeleti adatoknak az OT-zónából egy IT-oldali tárolórendszerbe történő átviteléhez – új biztonsági kockázatok bevezetése nélkül – szándékos architektúra-tervezés szükséges, nem csupán konfiguráció.

Ami papíron egy rövid távú OT-projektnek tűnik, az a bevezetés, a változáskezelés és a dokumentáció figyelembevételével könnyen 18 hónapig vagy annál is tovább tarthat. Azoknál a villamosenergia-szolgáltató vállalatoknál, amelyeknél a projekt 2028-as eszközöket érint, a hosszú távú tervezésre rendelkezésre álló idő egyre szűkül.

OPSWATOT-biztonsági termékcsaládja közvetlenül megfelel a CIP-015-1 követelményeknek.

AMetaDefender Security™ az R1.1-től az R1.3-ig terjedő követelményeket teljesíti, passzív, ügynök nélküli hálózati felügyelettel, SPAN/TAP architektúrák segítségével, forgalom-beavatkozás és a vezérlőhurkok megzavarása nélkül.

A több száz OT- és IT-protokollon végzett mélyreható csomagelemzés biztosítja az R1 által megkövetelt eszközfelismerést, forgalmi alapértékek meghatározását és rendellenesség-felismerést. Ez lehetővé teszi a biztonsági csapatok számára, hogy olyan viselkedési rendellenességeket azonosítsanak, mint a váratlan Modbus-parancsok, a jogosulatlan mérnöki munkaállomás-kapcsolatok és az ismeretlen eszközök, amelyeket a hagyományos IT-biztonsági eszközök gyakran figyelmen kívül hagynak.

MetaDefender minden szükséges eszközt biztosít az R2 adatátviteli kihívás kezeléséhez. Egyirányú biztonsági átjárója az INSM telemetriai adatokat az OT-zónából kizárólag egy irányba továbbítja az IT-oldali elemző és SIEM-platformok felé; ez a folyamat hardveresen biztosított, visszatérő csatorna nélkül. A villamosenergia-szolgáltatók így teljesíthetik az adatátviteli követelményeket anélkül, hogy kétirányú csatornát kellene megnyitniuk, ami új biztonsági kockázatokat jelentene.

Pontosabban:NetWall az adatok biztonságosNetWall , míg az R2 és R3 szintű adatmegőrzési és hozzáférés-ellenőrzési követelményeket a fogadó rendszer teljesíti. A teljes körű megfelelési architektúra a következőképpen épül fel:OT Security és az észlelést,NetWall biztonságosNetWall , míg az IT-oldalon egy SIEM rendszer gondoskodik az adatmegőrzésről és a hozzáférés-ellenőrzésről.

Azoknál a villamosenergia-szolgáltató vállalatoknál, amelyek az Emerson DeltaV™ vagy Ovation™ automatizálási platformjait használják, a szabályozási követelményeknek való megfelelés útja egyenesebb. Ezeket a platformokat több száz villamosenergia-termelő, vízellátó és szennyvíztisztító létesítményben alkalmazzák, így azok a CIP-015-1 hatálya alá tartozó BES-eszközök tulajdonosainak követelményeinek is megfelelnek.  OPSWAT az Emerson 2026 áprilisában jelentette be globális viszonteladói megállapodását, amelynek eredményeként OPSWATkiberbiztonsági portfóliója az Emerson energia- és vízügyi kiberbiztonsági csomagján keresztül is elérhetővé vált.  

A meglévő DeltaV Alliance már magában foglaljaMetaDefender ésUnidirectional Security Gateway a DeltaVUnidirectional Security Gateway . Ez az integráció cserélhető adathordozók ellenőrzését és egyirányú adatexport-architektúrát biztosít, amelyek a CIP-003-9, illetve a CIP-015-1 R2 követelményeket támogatják.

Az új megállapodás kiterjeszti OPSWAToperációs technológiai (OT) javításkezelési megoldását az Emerson Ovation platformjára világszerte több mint 800 telephelyen,MetaDefender és Central Management My Central Management . A DeltaV és az Ovation ügyfelei számára a meglévő Emerson-kapcsolaton keresztül elérhetővé válik a kifejezetten erre a célra kialakított, CIP-kompatibilis architektúra.

A CIP 015-1 szabvány nem áll egyedül. A 2026. április 1-jén hatályba lépő CIP-003-9 és a CIP-015-1 szabványok metszéspontjában OPSWATtermékportfóliója különösen hatékonnyá válik. A CIP-003-9 szabályozási követelmények kiterjednek a cserélhető adathordozókra és az átmeneti kibereszközökre is az alacsony hatású BES kiberrendszerek esetében.

Az OT-környezetekben a cserélhető adathordozókat és az ideiglenes kibereszközöket rendszeresen használják a hálózattól elszigetelt rendszerek javításához és firmware-frissítéséhez.OPSWAT segítenek a cserélhető adathordozók és a gyártói laptopok átvizsgálásában és megtisztításában, mielőtt azok kapcsolatba kerülnének egy vezérlőrendszer-eszközzel. A CIP-003-9 hatálybalépésével, ha programja inkább irányelvekre, mint technológiai ellenőrzésekre támaszkodik, ez a hiányosság a következő ciklusban ellenőrizhető lesz.