前言

电力系统是现代社会结构的关键组成部分,其可靠性、安全性对国家安全至关重要。电力可靠性组织(ERO,Electric Reliability Organization)是美国致力于确保电力系统安全、可靠的组织,由北美电力可靠性协会(NERC,North American Electric Reliability Corporation)和六大区域实体(RE,Regional Entities)组成,ERO的愿景是建立一个高度可靠和安全的北美大容量电力系统(BPS,bulk power system)。

GridEx V演习介绍

为了提高电力行业的安全性和恢复力,NERC于2019年11月13日至14日在北美举行了第五次两年一次的电网安全演习(GridEx),分两天进行。自2011年来,经过一段时间的发展GridEx已经在战略、运营和战术层面上,演进到关注工业、政府、电力可靠性组织和相互依赖的关键部门之间的“统一努力和信息”。同时,参与人数变多且各级参与者多样化,意味着对于工作的重视。

GridEx V目标

2020年,GridexV由NERC的电力信息共享和分析中心(E-ISAC,Electricity Information Sharing and Analysis Center)领导,是迄今为止地理范围分布最大的电网安全演习。GridEx V的目标包括及达成情况概述如下:

其中,增加供应链参与目标部分达成,虽然参与供应商的数量可能更多但只有三大电力行业供应链供应商正式注册了GridEx V。

GridEx V的组成

为确保合理关注跨多个行业层次的各种目标,演习设计师划分了管理层桌面会议和分布式演习场景执行两部分,以最大限度地提出建议和意见,并实现对公共事业网络和物理安全准备至关重要的培训目标。

管理层桌面会议:模拟了一个场景,在美国东北部和加拿大安大略省南部的电网遭到严重的网络和物理攻击之后,讨论恢复电网所必需的非常操作措施。美国和加拿大的首席执行官和行政人员与政府官员合作,确定修复优先事项,实现与天然气和电信行业的“统一努力”,并确保与加拿大当局的适当协同。这些建议可以帮助两国政府和工业界在事件发生时加强行动协同。

分布式演习场景执行:在GridEx IV中,分布式规划取得了成功。在此基础上,NERC鼓励规划者定制演习基线场景以满足其组织的需求。不同组织需要不同的规模和不同的准备水平,因此分布式规划的方法非常适合。组织能够根据基准情景确定自己参与的范围和程度,并推动在演习期间将经历的活动。规划者决定他们的组织是以“积极”还是“观察”的方式运作,他们的组织将经历哪些物理或网络攻击,以及在演习期间将与哪些其他参与组织协同,使得每个组织能够根据其角色、可用资源和真实的运作环境参与,而不会造成巨大的后勤和通信障碍。

参与者

管理层桌面会议参与者

来自电力行业、跨行业合作伙伴和政府的100多名高管和员工出席了此次高管会议。电力行业参与者包括美国和加拿大,来自公共和投资者所有的公用事业、合作社和独立系统运营商的首席执行官和首席运营官。来自其他关键基础设施行业的参与者包括来自天然气和电信行业以及一家主要自动化、保护和控制制造商的代表。来自下列部门和机构的美国联邦政府高级官员也出席了会议:

1、白宫,国家安全委员会

2、能源部(DOE)

3、国土安全部(DHS)

4、网络安全基础设施安全局(CISA)

5、运输安全管理局(TSA)

6、联邦应急管理局(FEMA)

(1)国防部(DoD)

(2)联邦调查局(FBI)

(3)联邦能源管理委员会(FERC)

分布式演习参与者

526个组织的7000多名参与者参加了GridEx V,相比参加GridEx IV的450个组织和6000名参与者有所增加。虽然大部分参与者仍然来自E-ISAC支持的电力公司,但2个参与者在相互依存的行业中有所扩大,包括天然气公用事业、水公用事业和电信公司。政府组织的参与也有所增加:GridEx V统计了来自美国、加拿大、墨西哥、新西兰、澳大利亚和英国的参与组织。

GridEx V演习

管理层桌面会议

GridEx V管理层桌面会议与分布式场景演习分开进行,目标是让行业和政府高级领导人全面讨论保护和恢复大BPS可靠运行所需的特殊运行措施,为此GridEx V制定了5大目标,讨论了安全和电力可靠性挑战、与其他关键基础设施的相互依赖性以及与政府机构的协同,这在历史上是第一次。会议围绕着针对公共控制系统的网络攻击、针对主要发电和输电设施以及天然气输送的物理攻击、针对网络攻击和人身攻击的影响,包括影响大型人口中心的大面积和长时间停电、许多组织的响应行动和协同,包括电力公司和其他关键基础设施部门如供应链、E-ISAC、执法部门和政府机构等场景设计了三个阶段来模拟工业和政府如何应对复杂、协调良好的网络和物理攻击场景:

第一阶段:美国东北部和加拿大安大略省南部在第一个小时内发生大面积、无法解释的停电事故。

第二阶段:美国东北部和加拿大安大略省南部地区的电力中断持续存在,其他重要基础设施也受到影响。

第三阶段:在第一天恢复部分电力供应后,采取了非常措施,但严重的基础设施中断依然存在。

分布式场景演习

GridEx V计划团队于2019年11月13日至14日在弗吉尼亚州麦克莱恩的演习控制设施的中心指挥分布式演习。规划小组监督和监测演习工具的状况,以确保它们在整个演习期间保持运作。基线场景时间线图说明了整个演习期间的一般电网可靠性水平。

第0步:演习在开场为玩家提供了信息,表明针对电力行业的网络和物理安全威胁正在增加,尽管没有信息确定目标设施。各种报告指出,世界各地的民族国家冲突正在以有针对性的网络攻击和针对关键基础设施的物理监视的形式升级。欧洲输电运营商经历了一次网络攻击引发的系统干扰,影响了10多个国家,包括至少一次影响电力公司的网络攻击。来自E-ISAC、FBI和DHS对电力行业的报告表明,对手正积极地对北美的电网、电信和天然气设施进行网络和物理侦察。对手资源充足,拥有相当多的技术知识、技能和动力。

第1步:2019年11月13日上午,E-ISAC通过E-ISAC演习门户发布了一个关于关键广播节目(CBP)呼叫的通知,告知玩家由于北美电力行业的威胁报告明显激增,可能对电网构成迫在眉睫的威胁。E-ISAC共享了有关针对工业控制系统的主动恶意软件活动的信息。公用事业公司报告了其运营技术网络中的异常行为,其他公司报告了物理监视活动和小规模物理攻击。公用事业运营商报告其控制系统存在严重问题,并怀疑有网络入侵危害了它们。运营商已经受到发电不足的挑战,失去了态势感知能力,转而采用人工方法来监控和操作电网。更严重的人身攻击通过直接攻击和燃料供应中断破坏了发电、输电和配电设施。电网运营商减少了用户负荷,避免了可能导致互联范围大停电的连锁停电。

第2步:一段预先录制的模拟媒体报道视频描述了这次演习中的攻击和停电范围。媒体在报道超过500万户停电家庭时,依靠未经核实的报道和社交媒体信息。ESCC秘书处与联邦政府合作伙伴(即能源部、国土安全部和联邦调查局)以及发挥受影响实体作用的两个公用事业单位举行了一次工作人员级协调电话会议。在这一呼吁之后,经济、社会和文化委员会的联合主席与成员、受影响实体的领导层和联邦政府高级官员举行了一次行政级别的电话会议,以分享有关情况的信息并协调公共信息。电子安全援助委员会进行了一次CBP电话会议,分享迄今为止工业和政府伙伴所报告的情况,并为各组织提供下一步行动。对手继续使用社交媒体来描述他们的成功。电力公司高管和政府回应了客户和媒体的要求,要求他们知道发生了什么,他们正在做什么来确保公共安全和恢复电力。

第3步:第3步从另一个预先录制的媒体报道视频开始,该视频描述了前一天发生的攻击和断电事件。在这一点上,NERC和DHS对新闻媒体做出回应,因为对手在后续协调攻击中继续对抗电力基础设施。一个新的E-ISAC CBP呼叫分享了来自DHS的关于恶意软件活动细节的新信息,并建议了缓解措施。停电的影响继续扩大,没有电力或备用发电机燃料供应的水处理厂停止运转。幸运的是,电信服务已基本恢复。人身攻击仍在继续,这次是针对燃煤发电厂、输电塔和配电变电站。网络攻击仍在继续,其中包括利用互联网上现成的黑客工具进行明显的模仿攻击。对手和受影响公众在社交媒体上发表的帖子继续引发焦虑和恐惧。

第4步:最后一组预先录制的媒体报道强调了工业界和政府是如何合作恢复权力的。工业控制系统供应商发布了修复受感染系统所需的软件修补程序,而实用程序则致力于在其生产系统上安装修补程序。物理攻击变得不那么频繁,为公共设施提供了评估情况、确定行动优先级和开始恢复运行所需的修复的机会。公用事业公司要求互助伙伴通过传统和网络互助(CMA)网络为电网恢复工作提供支持。

在第四步结束时 ,规划人结束了演习并且回顾了演习的情况,回答了队员们提出的问题,并开始总结经验教训。虽然演习是由每个组织单独进行,但演习中的玩家在SimulationDeck上进行交互。SimulationDeck是一个在线平台,托管了模仿Facebook、Twitter、YouTubeTM等社交媒体以及电视、报纸和广播等传统媒体的应用。为了提高真实的训练价值,使玩家能够像在实际活动中一样报告和分享信息,GridEx V计划人员为玩家创建了对手和客户的个人资料,让他们可以在整个训练过程中发布自己的新闻稿和社交媒体帖子。

意见和建议

管理层桌面会议

根据管理层桌面会议讨论,建议电力行业:

1.   确保电网应急响应和恢复计划考虑到国家安全紧急情况的复杂性,并描述与联邦、州或省级当局的配合。

2.   将天然气供应商和管道运营商纳入恢复计划和演习。

3.   加强与通信供应商的协调,以支持修复和恢复,并提倡6千兆赫频谱的持续可用性。

4.   与美国能源部(DOE)就根据《联邦电力法》第215A节发布的电网安全紧急(GSE)命令的设计、发布和责任保护达成共识。

5.   确定关键供应链要素,并考虑为最关键的组成部分制定共享库存计划。

6.   继续扩大对电力分部门协调委员会(ESCC)网络互助(CMA)计划的参与。

7.   继续加强美国和加拿大之间的经营性行业和政府协调。

分布式场景演习观察和建议

1. 灵活的场景结构使演习计划人员能够定制他们的GridEx体验,并最大限度地学习改进他们组织的事件响应准备和能力。建议:

a.  演习计划者继续定制情景以满足自己的学习目标。GridEx应继续认识到参与公共事业的不同需求,并提供额外的场景示例,以说明GridEx如何与其功能实体角色(如传输运营商、发电机运营商、配电实体)相关。

b.  规划者应考虑如何通过决定他们希望在组织内执行哪些操作流程来定制场景。明确的操作目标将有助于规划人员决定使用哪种网络或物理安全方案。

2. 早期的计划可以让计划人员从场景的灵活性中受益,但是后来加入的计划人员很难为演习做好充分的准备。建议:

a.  NREC至少在演习执行前六个月继续向规划者提供信息,使他们有最长时间准备好组织。

b.  NREC应考虑公开一些规划文件。由于安全措施(如双因素身份验证和防火墙不兼容),一些组织在计划阶段难以访问文档。NERC应该将一些练习文档指定为TLP:WHITE并将它们发布到NERC的网站上。这些公开提供的文件将使新组织更清楚地了解有效参与GridEx所需的承诺。

c.  NREC应考虑建立一个“经验丰富的规划师”计划,将经验丰富的规划师与新的规划师配对,帮助他们掌握规划过程。随着GridEx的多次迭代成功完成,许多经验丰富的规划师可以帮助新的规划师管理和优先考虑他们的规划职责。

d.  E-ISAC将继续促进观察员与积极参与GridEx的组织之间的伙伴关系。

3. 尽管许多公用事业公司使用GridEx来加强与RC、执法部门和政府机构的关系,但其他公司缺乏必要的资源来协调应对方案中的挑战。建议未来GridEx练习的策划者:

a.  鼓励RCs与他们领域的实体协作以协调场景开发。RCs完全有能力将公用事业与当地政府资源和邻近的关键基础设施合作伙伴配对。

b.  鼓励规划者向执法部门和应急响应人员寻求GridEx方面的支持。按照GridEx目前的格式,每个组织都应该像在实际事件中那样,与政府和跨部门事件响应合作伙伴进行协调。

c.  规划者应加强公共事业政府的合作关系,例如将美国国土安全部(DHS)的保护性安全顾问嵌入公共事业部门,或与国土安全部观察中心和州融合中心联络。

4. GridEx分布式场景演习和GridEx管理层桌面会议应在不同的日期进行,以便领导团队能够为其组织实现最大的培训价值。根据这一观察:

a.  NERC将把桌面会议移到另一个独立于分布式场景演习的时间。

5. 一些参与者被第0步搞糊涂或不知所措:

a.  GridEx计划团队将在未来的演习中巩固并缩短第0步,三周缩短到一到两周。

b.  NERC应在注册时提供选择加入选项,提供第0步E-ISAC演习门户通知。

6. 对GridEx中的网络注入的反应绝大多数是积极的,参与者要求为GridEx VI提供新的网络安全注入材料。基于这个观察:

a.  GridEx计划将继续利用其与DOE和国家实验室的关系,寻求先进的网络培训能力,以促进更多的网络挑战。这种关系将使各组织能够寻求更具沉浸感的网络安全演习经验。

7. GridEx V见证了危机沟通工具及其采用范围的扩大。根据这一观察,对于未来的演习:

a.  GridEx计划团队将把GridEx注册转移到一个独立的网站,而不是SimulationDeck。这一举措将有助于玩家集中使用SimulationDeck作为演习危机沟通的手段。

b.  公用事业演习规划者应考虑在通信玩家和其他演习玩家之间开发更多的交互,以增加通信和SimulationDeck游戏的相关性。例如,规划者可以组织公共领域的事件或威胁报告,使其与物理安全相关;通信参与者也可以分享其组织如何成功处理事件。

8. E-ISAC演习门户成功地成为公用事业和RCs的信息共享门户,但关键广播节目(CBP)协调呼叫访问在一些组织中造成了混乱。对于将来的练习:

a.  E-ISAC应考虑通过多种方式进行CBP通信,如发布到E-ISAC门户的预先录制的简报、创建安全“播客”或实时拨号功能。

9.   ESCC使用GridEx V distributed play成功地测试了一系列新的员工和执行层协调,这些调用将在无通知事件开始时使用,并激活CMA程序。根据这一观察:

a.  电气实体应考虑预先确定一名新闻干事和一名业务负责人,以便在ESCC秘书处提出要求时参与工作人员一级的协调电话,作为其事故应对规划方案的一部分。这些协议应考虑到,对于包括ESCC领导层和联邦政府高级行政人员在内的一些电话,可能需要行政级别的参与。

b.  NERC和E-ISAC应该考虑开发GridEx VI分布式游戏的一部分,该部分将具有多个电力实体使用的通用场景。演习的这一部分将有助于促进ESCC的参与,并使演习期间更容易集成和测试全行业的能力,如CMA和备用变压器计划。

结论和下一步工作安排

在GridEx V结束时,与会者一致认为,这项工作有助于加强继续建立电力行业、跨部门合作伙伴和政府之间的合作关系的必要性,以减轻北美电网不断变化的安全风险。报告同时给出了下一步的工作安排,详情请参考报告原文。

《北美电网故障5安全演习经验总结报告》原文下载链接:

https://www.nerc.com/pa/CI/CIPOutreach/GridEX/TLP%20WHITE%20GridEx%20V%20Lessons%20Learned%20MAR20.pdf

本文作者:安全内参社区研究员 CC

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。