יישום מעשי לצורך עמידה בתקן NERC CIP-015-1

במשך שנים, ה-  NERC (North American Electric Reliability Corporation)  תאימות CIP התמקדה בעיקר באבטחת ההיקף. תקן CIP-006 הסדיר את הגישה הפיזית, תקן CIP-007 נעל יציאות ושירותים, ותקן CIP-005 הגדיר את ה-ESP (Electronic Security Perimeter). ההנחה הבסיסית הייתה שאם שולטים במה שחוצה את הגבול, שולטים בסיכון. 

הצעת CIP-015-1 דחתה הנחה זו, והיא נכנסה לתוקף בספטמבר 2025. עם התקרבותו של מועד היעד הראשון ליישום בספטמבר 2028, הפער בין "קראנו את התקן" ל"יש לנו ארכיטקטורה תפקודית" מתחיל להיות משמעותי. 

ה-FERC (הוועדה הפדרלית לרגולציה בתחום האנרגיה) אישרה את תקן NERC CIP-015-1 כתקן INSM (ניטור אבטחת רשתות פנימיות) ב-26 ביוני 2025, באמצעות צו 907. התקן נכנס לתוקף ב-2 בספטמבר 2025. מועד היעד לעמידה בתקן הוא 2 בספטמבר 2028 עבור מערכות סייבר של BES (מערכת חשמל מרכזית) בעלות השפעה גבוהה ומערכות סייבר של BES בעלות השפעה בינונית עם ERC (קישוריות ניתנת לניתוב חיצוני) במרכזי בקרה. כל שאר המערכות הרלוונטיות בעלות השפעה בינונית חייבות לעמוד בתקן עד 2 בספטמבר 2030.

הדרישה המרכזית היא בעלת חשיבות תפעולית:

• חברות החשמל חייבות לפקח על התנועה בתוך מתקני ה-ESP שלהן, ולא רק על מה שנכנס ויוצא מהמתחם.

• תקן R1 מחייב את הגופים לאסוף נתוני רשת על בסיס שיקולים של ניהול סיכונים, לאתר פעילות חריגה, להעריך את החריגות שזוהו, ולשמור את הנתונים הקשורים לכך למשך זמן מספיק כדי לאפשר ביצוע חקירות.

• R2 ו-R3 עוסקים בהגנה ובבקרת הגישה לנתונים השמורים. 

הרגולטורים כבר מביטים קדימה, וה-NERC קיבלה הנחייה להרחיב את התקן עד ספטמבר 2026 כך שיכלול את מערכות ה-EACMS (מערכות בקרת גישה וניטור אלקטרוניות) ואת ה-PACS (מערכות בקרת גישה פיזית) מחוץ ל-ESP, הנכללות בתקןCIP-015-2 העתידי. מועד היעד הזה נמצא כעת במרחק של חודשים ספורים בלבד. 

פריסת INSM בסביבת OT אינה זהה לפריסת מערכת SIEM (ניהול מידע ואירועי אבטחה) במרכז נתונים ארגוני. הניטור חייב להיות פסיבי, שכן סריקה אקטיבית אינה אפשרית בסביבות ICS פעילות. לעתים קרובות נעשה שימוש במגוון רחב של פרוטוקולים, כולל Modbus, DNP3, IEC 61850, PROFINET ו-EtherNet/IP, לצד תעבורת IP סטנדרטית. רשימות הנכסים לרוב אינן שלמות, מה שאומר שפרויקטי INSM מתחילים בדרך כלל באיתור לפני שניתן לבצע זיהוי כלשהו. בנוסף, העברת נתוני הניטור מאזור ה-OT למערכת אחסון בצד ה-IT, מבלי להציג סיכוני אבטחה חדשים, דורשת תכנון ארכיטקטוני מכוון, ולא רק תצורה.

מה שנראה על הנייר כפרויקט קצר של OT עלול בקלות להימשך 18 חודשים או יותר, כאשר לוקחים בחשבון את הפריסה, ניהול השינויים והתיעוד. עבור חברות חשמל ש-2028 נכסים נכללים בהיקף הפרויקט שלהן, חלון ההזדמנויות לתכנון ארוך טווח הולך ונסגר.

תיק המוצרים OPSWATבתחום אבטחת OT תואם באופן ישיר לדרישות תקן CIP-015-1.

MetaDefender Security™ מתמודד עם R1.1 עד R1.3, באמצעות ניטור רשת פסיבי וללא סוכנים באמצעות ארכיטקטורות SPAN/TAP, ללא הזרקת תעבורה וללא הפרעה למעגלי הבקרה.

בדיקת חבילות נתונים מעמיקה במאות פרוטוקולי OT ו-IT מספקת את יכולות זיהוי הנכסים, קביעת קווי בסיס לתעבורה וזיהוי חריגות הנדרשות ב-R1. הדבר מאפשר לצוותי האבטחה לזהות חריגות התנהגותיות כגון פקודות Modbus בלתי צפויות, חיבורים לא מורשים לתחנות עבודה הנדסיות ומכשירים לא מוכרים, אשר לעתים קרובות נעלמים מעיניהם של כלי אבטחת ה-IT המסורתיים.

MetaDefender מספקת את כל הדרוש כדי להתמודד עם האתגר של העברת נתונים ב-R2. שער האבטחה החד-כיווני שלה מעביר נתוני טלמטריה של INSM מאזור ה-OT לפלטפורמות ניתוח ו-SIEM בצד ה-IT בכיוון אחד בלבד, תוך אכיפה חומרתית וללא נתיב חזרה. חברות חשמל יכולות לעמוד בדרישות העברת הנתונים מבלי לפתוח ערוץ דו-כיווני שיוצר חשיפה חדשה.

למען הדיוק,NetWall נתונים בצורה מאובטחת, בעוד שהמערכת המקבלת היא זו שממלאת את חובות השמירה ובקרת הגישה של R2 ו-R3. ארכיטקטורת התאימות המלאה כוללת אתOT Security וזיהוי,NetWall בטוחה, ואת מערכת SIEM בצד ה-IT לשמירה ובקרת גישה.

עבור חברות חשמל המפעילות את פלטפורמות האוטומציה DeltaV™ או Ovation™ של חברת Emerson, הדרך לעמידה בדרישות היא ישירה יותר. פלטפורמות אלה מותקנות במאות מתקני ייצור חשמל, מתקני מים ומתקני טיהור שפכים, והן נכללות במסגרת בעלי הנכסים של BES הנמצאים בתחום היישום של תקן CIP-015-1.  OPSWAT Emerson הכריזו על הסכם הפצה עולמי באפריל 2026, ובכך הפכו את תיק מוצרי אבטחת הסייבר OPSWATלזמין באמצעות חבילת אבטחת הסייבר של אמרסון לתחום החשמל והמים.  

ברית DeltaV הקיימת כברMetaDefender ואתUnidirectional Security Gateway פלטפורמת DeltaV. שילוב זה מספק בקרת מדיה נשלפת וארכיטקטורת ייצוא נתונים חד-כיוונית התומכת בדרישות CIP-003-9 ו-CIP-015-1 R2, בהתאמה.

ההסכם החדש מרחיב את פתרון ניהול התיקונים לתשתיות OT OPSWATלפלטפורמת Ovation של Emerson ביותר מ-800 אתרים ברחבי העולם,MetaDefender  My Central Management . ללקוחות DeltaV ו-Ovation, מוצעת ארכיטקטורה ייעודית התומכת בתקן CIP במסגרת הקשר הקיים עם Emerson.

תקן CIP 015-1 אינו עומד לבדו. בנקודת המפגש בין תקן CIP-003-9, שייכנס לתוקף ב-1 באפריל 2026, לבין תקן CIP-015-1, פורטפוליו המוצרים OPSWATמתגלה כיעיל במיוחד. הדרישות הרגולטוריות של CIP-003-9 מכסות גם מדיה נשלפת ונכסי סייבר זמניים עבור מערכות סייבר BES בעלות השפעה נמוכה.

בסביבות OT, נעשה שימוש שגרתי במדיות נשלפות ובנכסי סייבר זמניים לצורך התקנת תיקונים ועדכוני קושחה במערכות מנותקות מהרשת.OPSWAT מסייעים בסריקה וניקוי של מדיות נשלפות ומחשבים ניידים של ספקים, לפני שהם באים במגע עם נכס של מערכת בקרה. עם כניסתו לתוקף של תקן CIP-003-9, אם התוכנית שלכם מסתמכת על מדיניות ולא על בקרות טכנולוגיות, פער זה יהיה נתון לביקורת במחזור הבא שלכם.