Thực thi trong thực tế để tuân thủ tiêu chuẩn NERC CIP-015-1

Trong nhiều năm qua,  NERC (Tập đoàn Đảm bảo Độ tin cậy Điện lực Bắc Mỹ)  việc tuân thủ CIP chủ yếu tập trung vào việc bảo vệ vành đai an ninh. CIP-006 quy định về quyền truy cập vật lý, CIP-007 khóa các cổng và dịch vụ, còn CIP-005 định nghĩa về ESP (Vành đai An ninh Điện tử). Giả định cơ bản là nếu bạn kiểm soát được những gì đi qua ranh giới, bạn sẽ kiểm soát được rủi ro. 

CIP-015-1 đã bác bỏ giả định đó, và quy định này đã có hiệu lực từ tháng 9 năm 2025. Với mốc thời gian tuân thủ quan trọng đầu tiên vào tháng 9 năm 2028, khoảng cách giữa việc “chúng tôi đã đọc tiêu chuẩn” và “chúng tôi đã có một kiến trúc hoạt động” đang bắt đầu trở nên quan trọng. 

Ủy ban Điều tiết Năng lượng Liên bang (FERC) đã phê duyệt NERC CIP-015-1 là tiêu chuẩn INSM (Giám sát An ninh Mạng Nội bộ) vào ngày 26 tháng 6 năm 2025, thông qua Lệnh 907. Tiêu chuẩn này có hiệu lực từ ngày 2 tháng 9 năm 2025. Hạn chót tuân thủ là ngày 2 tháng 9 năm 2028 đối với các Hệ thống mạng BES (Hệ thống Điện Lớn) có Tác động Cao và các Hệ thống mạng BES có Tác động Trung bình có ERC (Kết nối Định tuyến Bên ngoài) tại các Trung tâm Điều khiển. Tất cả các hệ thống có tác động trung bình khác phải tuân thủ trước ngày 2 tháng 9 năm 2030.

Yêu cầu cốt lõi này có ý nghĩa quan trọng về mặt vận hành:

• Các công ty điện lực phải theo dõi lưu lượng điện bên trong các khu vực phân phối điện (ESPs) của mình, chứ không chỉ những gì đi vào và đi ra khỏi ranh giới.

• R1 yêu cầu các tổ chức thu thập nguồn dữ liệu mạng dựa trên cơ sở đánh giá rủi ro, phát hiện các hoạt động bất thường, đánh giá các bất thường đã phát hiện và lưu giữ dữ liệu liên quan trong thời gian đủ dài để phục vụ cho các cuộc điều tra.

• R2 và R3 quy định việc bảo vệ và kiểm soát quyền truy cập vào dữ liệu được lưu trữ. 

Các cơ quan quản lý đã bắt đầu có những định hướng cho tương lai, với việc NERC được chỉ đạo mở rộng tiêu chuẩn này trước tháng 9 năm 2026 để bao gồm các hệ thống EACMS (Hệ thống Kiểm soát và Giám sát Truy cập Điện tử) và PACS (Hệ thống Kiểm soát Truy cập Vật lý) nằm ngoài khu vực ESP, vốn sẽ được đưa vàotiêu chuẩn CIP-015-2 trong tương lai. Thời hạn này hiện chỉ còn cách chúng ta vài tháng nữa. 

Việc triển khai INSM trong môi trường OT không giống như việc triển khai hệ thống SIEM (Quản lý Thông tin và Sự kiện An ninh) tại trung tâm dữ liệu của doanh nghiệp. Việc giám sát phải được thực hiện theo phương thức thụ động, vì quét chủ động không phải là một lựa chọn khả thi trong các môi trường ICS đang hoạt động. Một loạt các giao thức thường được sử dụng, bao gồm Modbus, DNP3, IEC 61850, PROFINET và EtherNet/IP, cùng với lưu lượng IP tiêu chuẩn. Danh mục tài sản thường không đầy đủ, có nghĩa là các dự án INSM thường bắt đầu bằng việc khám phá trước khi có thể thực hiện bất kỳ phát hiện nào. Ngoài ra, việc chuyển dữ liệu giám sát ra khỏi vùng OT sang hệ thống lưu trữ phía IT mà không gây ra rủi ro bảo mật mới đòi hỏi phải có kế hoạch kiến trúc có chủ đích, không chỉ đơn thuần là cấu hình.

Một dự án OT tưởng chừng như ngắn gọn trên giấy tờ có thể dễ dàng kéo dài đến 18 tháng hoặc hơn nữa khi tính đến các yếu tố như triển khai, quản lý thay đổi và lập tài liệu. Đối với các công ty điện lực có tài sản thuộc phạm vi dự án đến năm 2028, thời gian dành cho việc lập kế hoạch dài hạn đang dần khép lại.

Danh mục các giải pháp bảo mật OT OPSWAThoàn toàn phù hợp với các yêu cầu của tiêu chuẩn CIP-015-1.

MetaDefender Security™ giải quyết các yêu cầu từ R1.1 đến R1.3, thông qua giám sát mạng thụ động, không cần cài đặt phần mềm thông qua kiến trúc SPAN/TAP mà không cần chèn lưu lượng và không gây gián đoạn cho các vòng điều khiển.

Việc kiểm tra gói tin sâu trên hàng trăm giao thức OT và IT giúp thực hiện các chức năng phát hiện tài sản, thiết lập mức cơ sở lưu lượng và phát hiện sự bất thường mà R1 yêu cầu. Điều này cho phép các đội ngũ an ninh xác định các hành vi bất thường như lệnh Modbus không mong đợi, kết nối trái phép từ các máy trạm kỹ thuật và các thiết bị không xác định – những vấn đề mà các công cụ bảo mật IT truyền thống thường bỏ qua.

MetaDefender cung cấp các giải pháp cần thiết để giải quyết thách thức trong việc truyền tải dữ liệu R2. Cổng bảo mật một chiều của hệ thống này truyền dữ liệu đo lường INSM từ vùng OT sang các nền tảng phân tích và SIEM phía IT theo một chiều duy nhất, được thực thi bằng phần cứng và không có đường truyền ngược lại. Các công ty điện lực có thể đáp ứng các yêu cầu về truyền tải dữ liệu mà không cần mở kênh hai chiều, từ đó tránh tạo ra các lỗ hổng bảo mật mới.

Nói chính xác hơn,NetWall dữ liệu một cách an toàn, trong khi các nghĩa vụ về lưu trữ và kiểm soát truy cập theo cấp độ R2 và R3 được thực hiện bởi hệ thống nhận dữ liệu. Kiến trúc tuân thủ đầy đủ bao gồm:OT Security và phát hiện,NetWall an toàn, và hệ thống SIEM phía CNTT đảm nhiệm việc lưu trữ và kiểm soát truy cập.

Đối với các công ty điện lực đang vận hành các nền tảng tự động hóa DeltaV™ hoặc Ovation™ của Emerson, lộ trình tuân thủ sẽ đơn giản hơn. Các nền tảng này đã được triển khai tại hàng trăm cơ sở sản xuất điện, cấp nước và xử lý nước thải, thuộc phạm vi các chủ sở hữu tài sản BES theo tiêu chuẩn CIP-015-1.  OPSWAT Emerson đã công bố thỏa thuận phân phối toàn cầu vào tháng 4 năm 2026, giúp danh mục sản phẩm an ninh mạng OPSWATcó thể được cung cấp thông qua bộ giải pháp an ninh mạng cho ngành điện và nước của Emerson.  

Liên minh DeltaV hiện tại đãMetaDefender vàUnidirectional Security Gateway nền tảng DeltaV. Sự tích hợp này cung cấp khả năng kiểm soát phương tiện lưu trữ di động và kiến trúc xuất dữ liệu một chiều, hỗ trợ các yêu cầu CIP-003-9 và CIP-015-1 R2 tương ứng.

Thỏa thuận mới này mở rộng khả năng quản lý bản vá hệ thống công nghiệp (OT) OPSWATsang nền tảng Ovation của Emerson tại hơn 800 địa điểm trên toàn cầu, thông qua việc sử dụngMetaDefender và My Central Management chỗ. Đối với khách hàng sử dụng DeltaV và Ovation, kiến trúc được thiết kế chuyên biệt và sẵn sàng tuân thủ CIP hiện đã có sẵn thông qua mối quan hệ hợp tác hiện tại với Emerson.

Tiêu chuẩn CIP 015-1 không tồn tại độc lập. Sự kết hợp giữa CIP-003-9 (có hiệu lực từ ngày 1 tháng 4 năm 2026) và CIP-015-1 chính là điểm mà danh mục giải pháp OPSWATphát huy hiệu quả đặc biệt. Các yêu cầu quy định của CIP-003-9 cũng bao gồm các phương tiện lưu trữ di động và tài sản mạng tạm thời đối với các Hệ thống mạng BES có tác động thấp.

Trong môi trường OT, các phương tiện lưu trữ di động và tài sản mạng tạm thời thường được sử dụng để cài đặt bản vá và cập nhật phần mềm hệ thống trên các hệ thống cách ly mạng.OPSWAT giúp quét và khử trùng các phương tiện lưu trữ di động cũng như máy tính xách tay của nhà cung cấp trước khi chúng tiếp xúc với tài sản hệ thống điều khiển. Với việc CIP-003-9 có hiệu lực, nếu chương trình của bạn dựa vào các biện pháp kiểm soát chính sách thay vì công nghệ, lỗ hổng đó sẽ có thể bị kiểm toán trong chu kỳ tiếp theo của bạn.