ввоз электроэнергетиеского оборудования на грузовике

Министерство энергетики США определяет «иностранных противников» для запрета на ввоз оборудования.
Министерство энергетики (DOE) опубликовало окончательный список шести иностранных «противников», которые представляют угрозу для систем электроснабжения США (BPS): Китай, Куба, Иран, Северная Корея, Россия и Венесуэла.
Этот список является лишь частью информационного запроса Министерства энергетики (RFI), опубликованного Управлением электроэнергетики США 8 июля в Федеральном реестре. Несмотря на то, что действия RFI являются частью официальных усилий по выявлению уязвимостей в современной энергетической отрасли, это определит последующие шаги, которые федеральное правительство может предпринять, чтобы выполнить указ президента Трампа от 1 мая - 13920 .
Объявляя чрезвычайную ситуацию на национальном уровне в связи с угрозами BPS, ВБ по сути стремится запретить «приобретение, импорт, передачу или установку» любого подверженного риску электрического оборудования BPS, в котором иностранный противник или гражданин страны, считающейся противником, имеет какой-либо интерес, включая «заинтересованность в контракте на поставку оборудования».

 «Ближайшие» иностранные противники.

Первоначально ВБ запрещает незавершенные и будущие сделки с оборудованием BPS, которые были спроектированы, разработаны, изготовлены или поставлены лицами, на которых распространяется юрисдикция «иностранный противник», но не уточняет, какие страны или организации попадают под контроль США.
Запрет на нерассмотренные или будущие сделки является лишь одним из четырех «столпов в широком порядке». В частности, EO 13920 также дает указание МЭ консультироваться с руководителями других компаний в разработке критериев, какое оборудование и поставщики BPS должны будут «предварительно определены» для будущих сделок, а также для выявления существующего электрического оборудования BPS, которое  представляет интерес для «иностранного противника» и имеет «неоправданный риск». Акцент на существующем оборудовании BPS в рамках третьей колонки особенно примечателен, поскольку в задачу МЭ входит также разработка рекомендаций по «идентификации, изоляции, мониторингу или замене» оборудования, подверженного риску «в зависимости от обстоятельств».
В ближайшие месяцы, вероятно, будет внесено больше ясности. Ожидается, что министерства энергетики, обороны, национальной безопасности и директор Национальной разведки опубликуют правила, реализующие их полномочия в установленном порядке, в соответствии с требованиями в течение 150 дней после начала действия или до 1 октября 2020 года.
RFI Министерства энергетики США дает некоторое представление, по крайней мере, о том, почему федеральное правительство посчитало ВБ необходимым, и как этот процесс может разворачиваться. Само действие, по-видимому, является прямым ответом на призыв ВБ к широкой идентификации того, какие организации или лица «принадлежат, контролируются или находятся под юрисдикцией или направлением иностранных противников», а также какие операции с оборудованием BPS «требуют особого внимания». Следующими шагами МЭ, скорее всего, будет установление процедур «лицензирования сделок, запрещенных» приказом, а также «определение» механизма и соответствующих факторов для проведения переговоров по соглашениям, возникающим в связи с запретом на использование оборудования.
В ходе акции, проводимой в среду, Министерство энергетики выражает особую обеспокоенность в связи с внешними угрозами со стороны Китая и России, которые считаются «ближними иностранными противниками». Эти страны «обладают высокоразвитыми киберпрограммами», и «представляют серьезную угрозу для правительства США, включая, военную, дипломатическую, коммерческую и критическую инфраструктуры», - говорится в сообщении. «BPS является целью асимметричных кибер-физических планов и операций этих противников».
Министерство энергетики также предупреждает, что Китай и Россия «располагают возможностями и комплексными планами, необходимыми для запуска кибератак, вызывающих локальные разрушительные последствия для критически важной инфраструктуры, такие как разрушение газопровода и электрической инфраструктуры в течение нескольких дней или недель в США». Эти почти равноправные иностранные противники продолжают наносить на карту критически важную инфраструктуру США с долгосрочной целью возможности нанесения существенного ущерба.
Ссылаясь на выпущенную в феврале 2020 года Национальную стратегию контрразведки на 2020-2022 годы, МЭ предполагает, что обе страны «используют комбинации экономического шпионажа, а также цепочки поставок и кибер-операции для получения доступа к критически важной инфраструктуре, в том числе путем внедрения вредоносных программ в сети информационных технологий и коммуникационные системы».

Широкий подход.

RFI Министерства энергетики США предполагает, что агентство применяет широкий подход для противодействия этим угрозам. В нем говорится, что RFI базируется на структуре управления цепочками поставок (SCRM) Центра национальной разведки и национальной безопасности (NCSC ), и это означает, что МЭ не планирует разрабатывать инструмент SCRM и не стремится к внедрению передового опыта, потому что уже «хорошо зарекомендовали себя» в рамках SCRM.
Вместо этого МЭ планирует опираться на структуры, используя такие стандарты, как стандарты серии NIST 800, стандарты ISO, стандарты ISA / IEC 62433 и NERC CIP .
«Департамент сосредоточен на улучшении оценки активов / операционного риска для собственника / оператора коммунальных услуг путем включения идентификации корпоративного риска, связанного с поставщиком / услугами в цепочке поставок, в процесс систем приобретения», - говорится в документе. Коммунальные предприятия могут применять для постоянной оценки своей кибербезопасности «процесс добровольной оценки», разработанный в рамках программы партнерства между государственным и частным секторами под названием Модель зрелости возможностей кибербезопасности (C2M2).
Наряду со сбором «основанных на фактических данных показателей кибербезопасности», Министерство энергетики США заявляет, что будет использовать RFI для определения «иностранного владения, контроля и влияния (FOCI)». Это важно, говорится в заявлении, потому что Министерство энергетики рассматривает возможность проведения ограниченных закупок, «выбора сборки вместо покупки», «последствия недостаточного SCRM» и «показатели эффективности, которые поддерживают процесс непрерывного улучшения» в рамках процесса федеральных закупок и стандартов NERC CIP.
Тем не менее, процесс нормотворчества DOE будет включать в себя возможность обсуждения заинтересованных сторон и ввода правила для реализации полномочий в рамках ВБ. Это «правило будет стремиться, по-видимому, защитить цепь поставок BPS от угроз и уязвимостей, а также провести экономический анализ». Оба аспекта, по которым Министерство энергетики запрашивает мнения в рамках RFI.

Уязвимость.

Главным вопросом, на который агентство просит владельцев и продавцов активов энергетического сектора ответить до 7 августа 2020 года, является вопрос о том, проводят ли они оценку рисков для предприятий и выявляют ли контроль или влияние иностранных компаний в отношении «данных о компаниях, разработке продуктов и исходном коде».
Министерство энергетики также спрашивает владельцев и поставщиков о потенциальных рисках поставок у «поставщиков субуровней» - или «поставщиков-поставщиков», - признавая, что некоторые производители «подуровня цепи поставок могут иметь FOCI по отношению к иностранным компаниям».
Например, Министерство энергетики спрашивает: «Включена ли в контракты по обеспечению безопасности цепочки поставок формулировка контракта? Соблюдаются ли показатели безопасности, стоимость, график и показатели эффективности»?

Другие вопросы касаются физического и материально-технического доступа, который могут использовать иностранные противники. Например: «Какая политика контроля доступа, основанная на физических и логистических ролях, была разработана для контроля и ограничения доступа во время установки, когда иностранный противник или связанное с ним лицо, находящееся в собственности иностранного государства, контролируемое иностранным государством или находящееся под иностранным влиянием, устанавливает электрооборудование для BPS на объекте BPS в США?»
Некоторые вопросы предполагают, что МЭ хочет больше узнать о том, работают ли стимулы и существующие стандарты, чтобы помочь идентифицировать риски, и не являются ли они контрпродуктивными. Например, обоснованность существующих нестандартных стимулов, прозрачность компонентов программного обеспечения, практика аутентификации, а также мониторинг поставщиков подуровней. Также задается вопрос, существуют ли какие-либо «небезопасные по своей конструкции» или уязвимые протоколы связи, которые «должны не могут быть отключены или смягчены с помощью электрооборудования BPS (примеры протоколов включают протокол распределенной сети 3 [DNP3], протокол передачи файлов [FTP] ], Telnet или Modbus)»? В нескольких вопросах также рассматриваются вопросы обмена информацией и частного партнерства, направленных на повышение осведомленности об уязвимости компонентов, а также о рисках в цепочке поставок. RFI Министерства энергетики также ищет информацию об экономическом воздействии, которое EO 13920 может оказать на заинтересованные стороны BPS. DOE просит заинтересованные стороны, оценить единовременные и периодические затраты на «разработку, внедрение и периодический пересмотр планов и процедур соблюдения, связанных с исполнительным приказом».
RFI предполагает, что будущие правила МЭ могут включать в себя планы и рамки соответствия для документации по цепи поставок, оценку иностранного участия, оценку рисков и проверку процессов.
МЭ также спрашивает, являются ли определенные категории электрооборудования BPS более зависимыми от поставщиков, которые могут стать объектом проверки сделок,  и могут ли заинтересованные стороны BPS столкнуться с проблемами, связанными с поставкой этого оборудования.

Поэтапный подход «глубокая защита».

Как сообщала в мае компания POWER , определение электрооборудования BPS в ЕО ограничивается теми установками, которые используются в системах управления, необходимых для поддержания надежности взаимосвязанной сети, включая линии электропередач (от 69 кВ или более) и генерирующие объекты. Это включает:

  • Реакторы;
  • Конденсаторы;
  • подстанционные трансформаторы;
  • устройства соединительных конденсаторов [в ОЭ 1 мая это «конденсаторы соединительных токов» и «трансформаторы напряжения соединительной емкости»;
  • крупные генераторы, резервные генераторы;
  • регуляторы напряжения подстанции;
  • шунтирующее конденсаторное оборудование;
  • автоматические схемы повторного включения;
  • измерительные трансформаторы;
  • защитное реле;
  • измерительное оборудование;
  • высоковольтные выключатели;
  • турбины генераторов;
  • промышленные системы управления (ICS);
  • распределенные системы управления (DCS);
  • системы безопасности (SIS).

«Элементы, не включенные в предыдущий перечень и имеющие более широкое применение за пределами BPS, выходят за рамки EO 13920», - говорится в RFI МЭ. Тем не менее, министр энергетики будет периодически пересматривать перечень.
В то время как RFI охватывает полный список, МЭ отмечает, что планирует запросить комментарии по конкретному оборудованию «для обеспечения поэтапного процесса», чтобы «расставить приоритеты при рассмотрении электрооборудования BPS по функциям и влиянию на общую мощность».

Трансформаторы вызывают беспокойство.

В рамках «цепочки поставок» RFI Министерство энергетики запрашивает комментарии конкретно по трансформаторам - включая повышающие трансформаторы поколения, оборудованию для реактивной энергетики (включая реакторы и конденсаторы), автоматическим выключателям и генерации (включая выработку электроэнергии, которая предоставляется BPS на уровне передачи и резервного копирования). «Это касается как аппаратного, так и электронного оборудования, связанного с мониторингом оборудования, интеллектуальным управлением и защитой реле. Включены только трансформаторы с номиналом 20 МВА и напряжением на стороне низкого напряжения 69 кВ и выше», - сказано в сообщении.
Отраслевые источники предполагают, что внимание ЕО к трансформаторам может быть связано с «опасениями проникновения». Как сообщает POWER , крупные силовые трансформаторы являются одними из наиболее уязвимых компонентов на BPS. Это, как правило, крупное дорогостоящее оборудование, разработанное в соответствии с требованиями заказчика, и поскольку для них требуются сложный процесс закупок и производства, то для выполнения заказа необходимо длительное время.
Как сообщал Wall Street Journal в конце мая, федеральная служба летом 2019 года проверяла 500-килограммовый трансформатор, построенный китайской фирмой Jiangsu Huapeng Transformer Co. (JHTC). Из порта Хьюстона его транспортировали на подстанцию, принадлежащую федеральному коммунальному предприятию Western Area Power Administration (WAPA). Трансформатор был доставлен с помощью «федерального сопровождения» в Национальную лабораторию Sandia в Альбукерке, штат Нью-Мексико. Министерство энергетики не сразу отреагировало на запросы POWER , чтобы подтвердить репортаж газеты, а также проверить гипотезу о том, что зонд Сандии в гигантской установке, вероятно, скорее всего, обнаружил что-то вредоносное.

По словам эксперта по кибербезопасности систем управления Джо Вейсса, инцидент, возможно, был не единственным. В недавней записи в блоге Вейсс цитирует человека, знакомого с корпусом трансформатора JSHP-WAPA, который предположил, что в китайском трансформаторе был найден «выбивающий» переключатель нагрузки другой коммунальной службы, принадлежащей инвестору. Запись в его блоге подробно описывает инцидент. Для Вейсса оба случая явно иллюстрируют необходимость более тщательного изучения оборудования BPS. В последнее время «внимание кибербезопасности ICS было сосредоточено на сетях OT [операционной технологии], предполагая, что все киберугрозы OT должны проходить через сети OT Ethernet, где они могут быть обнаружены и заблокированы», - объяснил Вайсс. Неизвестно, содержат ли другие китайские трансформаторы, установленные в американских сетях, аналогичные «сюрпризы», но этот инцидент показывает серьезность проблемы, что и послужило причиной президентского указа 13920.