Uno sguardo all'ordine esecutivo di Trump per proteggere il sistema elettrico

Uno sguardo all'ordine esecutivo di Trump per proteggere il sistema elettrico

Il 1° maggio il presidente Trump ha firmato un ordine esecutivo sul tema “Sicurezza del sistema elettrico degli Stati Uniti”.  L'ordine cita gli avversari stranieri e la loro maggiore creazione e utilizzo di vulnerabilità contro la griglia come driver principale. A mio avviso, forse più interessanti sono i vincoli intrinseci agli standard NERC, vale a dire CIP-010 R4 e CIP-013 che l'ordine menziona.

Prosegue affermando che l'acquisizione di attrezzature progettate, sviluppate, fabbricate o addirittura fornite da organizzazioni di proprietà controllate o addirittura interessate dalla giurisdizione di avversari stranieri presenta rischi che potrebbero provocare eventi catastrofici.

Dichiarando un'emergenza nazionale sull'argomento, Trump proibisce l'acquisizione, il trasferimento di importazione o l'installazione di qualsiasi attrezzatura in cui un paese avversario straniero o un cittadino ha qualche interesse.

Mi prenderò un po' di libertà per riassumere sinteticamente l'ordine qui.

La prima sezione specifica che sono comprese le apparecchiature elettriche di grandi dimensioni, nonché la transazione stessa in cui potrebbe comportare un rischio indebito di sabotaggio. Presenta un rischio indebito di effetti catastrofici sulla sicurezza o sulla resilienza. Questa sezione conferisce inoltre al Segretario alla Difesa il potere di attuare controlli di mitigazione e pubblicare criteri per i fornitori pre qualificati di apparecchiature elettriche.

La sezione seconda consente inoltre al segretario di attuare norme e regolamenti a supporto dell'ordine e di sviluppare raccomandazioni per identificare, isolare, monitorare o persino sostituire i dispositivi il più presto possibile. Una disposizione per una Task Force è stabilita nella sezione 3 con ordini di marcia per sviluppare politiche e procedure di approvvigionamento, valutare l'implementazione delle considerazioni sulla sicurezza nazionale nella sicurezza energetica e nella definizione delle politiche, e lavorare con i gruppi del settore dei sistemi di distribuzione tra gli altri elementi.

Diversi componenti sono stati di particolare interesse secondo me. In primo luogo, le somiglianze con l'intento del CIP-013, lo standard recentemente coniato che affronta la gestione del rischio della catena di approvvigionamento nel sistema elettrico all'ingrosso, che è stato recentemente rinviato. Puoi saperne di più su CIP-013 qui. Mi incuriosisce se il ritardo avrebbe potuto contribuire alla tempestività di questo ordine.

In secondo luogo, la possibilità per i fornitori di ottenere la certificazione, questo mi sembra essere un passo senza precedenti per i federali di mettere un "timbro di sicurezza informatica" su qualsiasi apparecchiatura disponibile in commercio o un intero venditore in generale.

In terzo luogo, il suggerimento di sostituire le apparecchiature che presentano rischi. Questo di per sé sarebbe un'impresa enorme sia in termini di costi che di quantità di lavoro richiesto.

In quarto luogo, l'obbligo per la task force di lavorare con i gruppi del settore dei sistemi di distribuzione. Aspetto questo momento da un po 'di tempo; prima d'ora, tutto era focalizzato su tutti i sistemi che supportano 69Kv e oltre - solo trasmissione, generazione di energia e centri di controllo associati.

Infine, un fattore chiave è l'intenzione di ridurre le vulnerabilità introdotte nella griglia, che storicamente era stata affrontata dal CIP-010 R3, che richiede ai proprietari di attività di eseguire una valutazione attiva delle vulnerabilità ogni 36 mesi e prima dell'introduzione di una nuova risorsa.

Forse il requisito di 36 mesi è stato, giustamente, identificato come troppo indulgente; qualsiasi programma di gestione delle vulnerabilità maturo richiede una valutazione molto più frequente delle vulnerabilità.

Penso che l'industria attenderà con ansia l'impatto dell'ordine e esattamente ciò che verrà prodotto dalla task force.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.