Un nouvel outil de cybersécurité simplifie les évaluations de sites

la cyber-sécurité

Crédit : Pixabay/CC0 Domaine public

Alors que les sites fédéraux investissent dans des ressources énergétiques distribuées (DER) telles que des panneaux solaires et des batteries de secours, les investissements dans la cybersécurité doivent également être pris en compte. Plus de ressources énergétiques créent plus de complexité à gérer, introduisant le potentiel de nouvelles cyber-vulnérabilités et des coûts supplémentaires en cours de route.

Heureusement, un nouvel outil est disponible pour aider à gérer ce risque : le DER Risk Manager (DER-RM) du National Renewable Energy Laboratory (NREL), une application téléchargeable qui implémente et automatise un cadre largement reconnu pour la sécurité de l’information de l’Institut national de Normes et technologie (NIST). Le DER-RM, développé avec le soutien du programme fédéral de gestion de l’énergie (FEMP) du Département américain de l’énergie, offre une solution conviviale pour les sites qui doivent se conformer au cadre de gestion des risques du NIST.

“Après deux ans de travail acharné de l’équipe et de recherches approfondies sur le cadre de gestion des risques NIST 800-37, nous sommes très heureux de lancer la version bêta de cet outil”, a déclaré Tami Reynolds, responsable du projet de cybersécurité NREL. “Le cadre NIST en sept étapes est un processus complet qui aide les organisations à gérer la sécurité des informations et les risques liés à la confidentialité, mais il n’a pas été conçu spécifiquement pour les technologies opérationnelles telles que l’énergie distribuée. Le DER-RM offre ce service aux organisations qui cherchent à adopter des technologies plus renouvelables et systèmes énergétiques distribués. »

La conformité nécessite souvent des évaluations cycliques et chronophages, que le DER-RM rationalise. En plus de la conformité NIST, la conception du DER-RM a été éclairée par le cadre de cybersécurité DER (DER-CF) précédemment développé par NREL, un outil d’évaluation de cyber qui jette un filet plus large, évaluant plusieurs domaines de la sécurité d’un site tels que sa cyber gouvernance. , la gestion technique cyber-physique et la sécurité physique. Les deux applications guident les utilisateurs à travers des questions personnalisées pour créer un profil de leur système énergétique, qui est ensuite évalué, noté et amélioré avec des recommandations uniques.

“Le DER-RM fournit un processus rationalisé pour remplir et générer des rapports associés pour assurer la conformité, tandis que le DER-CF est une application hybride flexible qui permet la mise en œuvre de pratiques fondamentales de cybersécurité”, a déclaré Anuj Sanghvi, chercheur en cybersécurité et responsable technique pour le projet. “Pour les organisations qui commencent à évaluer la posture de cybersécurité de leurs actifs de production distribuée, l’application DER-CF joue un rôle essentiel pour l’intégration des systèmes DER dans les entreprises fédérales.”

Outre le lancement du DER-RM, l’équipe du NREL a récemment publié une série de modules de formation sur l’outil d’évaluation plus fondamental, le DER-CF, via le portail de formation accrédité de la FEMP.

Conformité facile pour les contrôles et la communication

Pour la gestion des risques, le DER-RM est construit autour du cadre NIST axé sur les contrôles, qui est obligatoire pour les agences fédérales et de nombreuses autres organisations. L’outil fournit spécifiquement des conseils pour aider les organisations à obtenir une autorisation d’exploitation (ATO), qui permet aux installations de documenter et d’évaluer les risques que le système introduit pour le personnel, les opérations et les autres organisations d’une organisation. Avec une approbation ATO, les agents d’autorisation acceptent les risques impliqués – et le plan pour les atténuer – liés à l’intégration du système sur les réseaux fédéraux.

Les utilisateurs peuvent saisir leurs informations système, que le DER-RM évalue en appliquant des attaques de cybersécurité courantes et en testant la défense du système. Les utilisateurs peuvent également télécharger directement leurs fichiers de données de contrôle, que le DER-RM vérifie pour la conformité au NIST et signale où des étapes de gestion des risques sont nécessaires. Étant donné que le cadre NIST nécessite des évaluations continues, le DER-RM est un gain de temps important pour le maintien de la conformité.

“Le DER-RM utilise autant de composants dynamiques que possible pour offrir une expérience véritablement personnalisée à l’utilisateur”, a déclaré Ryan Cryar, développeur principal du DER-RM et du DER-CF. “En utilisant le NIST Open Security Controls Assessment Language, ou OSCAL, nous avons un schéma unique qui nous permet de développer autour d’un modèle de données centralisé pour faciliter l’importation et l’exportation à partir de différents outils pour une expérience utilisateur plus personnalisée. Il n’y a pas deux évaluations identiques. “

Le DER-RM et le DER-CF sont disponibles gratuitement, avec une interface utilisateur accessible et la possibilité d’anonymiser les utilisateurs. Pour les organisations qui exigent une conformité en matière de cybersécurité, ces outils offrent une approche rapide et conviviale pour s’aligner sur plusieurs cadres et meilleures pratiques de cybersécurité. Pour les organisations qui souhaitent simplement améliorer la sécurité de leurs installations et de leurs DER, le DER-RM et le DER-CF offrent des solutions accessibles avec un accent unique sur les DER, permettant aux organisations de continuer à faire évoluer leurs systèmes énergétiques et de garder une longueur d’avance sur la cybermenace. .


Le NIST met à jour et élargit son catalogue phare de sauvegardes des systèmes d’information


Fourni par Laboratoire national des énergies renouvelables

Citation: Un nouvel outil de cybersécurité simplifie les évaluations de sites (2022, 3 août) récupéré le 3 août 2022 sur https://techxplore.com/news/2022-08-cybersecurity-tool-site.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.