Планирование ресурсов предприятия и критическая инфраструктура
6 января 2024 г.В этой серии мы обсудим роль операционных и информационных технологий в критической инфраструктуре с точки зрения электроэнергетической компании. Затем мы рассмотрим роль, которую планирование ресурсов предприятия играет в этом контексте. При этом мы продемонстрируем, что ERP-системы не только являются неотъемлемым компонентом бизнес-операций, но и содержат критически важные приложения, необходимые для поддержания безопасной и надежной критически важной инфраструктуры.
Мы раскроем проблемы, с которыми сталкиваются команды ИТ и кибербезопасности при обслуживании и защите ERP-систем, включая отсутствие прозрачности с бизнес-подразделениями, сложность в результате высокой степени настройки и, что наиболее важно, постоянную нехватку адекватных ресурсов для поддержания работоспособности и работоспособности. производительные системы.
Наконец, мы продемонстрируем, как преданная своему делу команда специалистов по рискам может исправить эти ошибки, получить непредвиденные дополнительные ресурсы от федерального правительства и правительств штатов, а также построить лучшие и более прозрачные отношения с регулирующими органами. В процессе они сформируют прочные отношения сотрудничества между ИТ-отделами и остальным бизнесом, создав прочную коалицию, посвященную высшей цели - повышению общественной безопасности.
ERP и критическая инфраструктура: серия
Электричество — это источник жизненной силы современной цивилизации, обеспечивающий питание наших домов, промышленности и основных услуг. В то время как предприятия электроэнергетики, газоснабжения и водоснабжения находятся на переднем плане, другие формы критически важной инфраструктуры включают в себя телекоммуникации, транспортные системы и учреждения здравоохранения. Критическая инфраструктура — это активы, системы и сети, необходимые для функционирования нашего общества.
Электроэнергетические предприятия работают как в сетях операционных технологий (OT), так и в сетях информационных технологий (IT). Сети OT в электроэнергетических компаниях отдают приоритет операционным функциям в реальном времени, таким как системы диспетчерского управления и сбора данных (SCADA) и системы управления процессами. Эти специализированные сети облегчают мониторинг и контроль физических устройств и процессов. ИТ-сети, с другой стороны, — это обычные пользовательские сети, которые остальная часть бизнеса использует для выполнения своих повседневных операций и связи с внешним миром.
Системы планирования ресурсов предприятия (ERP) являются частью ИТ-сети. Они интегрируют различные бизнес-процессы, включая финансы, человеческие ресурсы, закупки и управление запасами. Системы ERP оптимизируют операции, предоставляя централизованную платформу для управления данными и принятия решений, повышая эффективность и использование ресурсов.
…
<блок-цитата>Можем ли мы безопасно и надежно обеспечивать электричество без него?
Именно этот вопрос задает себе электроэнергетическая компания, определяя, какие из ее активов являются критически важными. В контексте электроэнергетической компании и другой критически важной инфраструктуры считается, что критически важные активы находятся в сети OT. И они это делают.
Отказ или компрометация операционных технологий может привести к затоплению целого города. Это связано с тем, что системы OT контролируют работу плотин. Системы производства гидроэлектроэнергии OT осуществляют точный контроль над потоком воды, что является фундаментальным процессом для достижения оптимального производства электроэнергии при соблюдении стандартов безопасности и сохранении целостности окружающей среды. В случае взлома такие системы могут спровоцировать катастрофическое событие. блок-схема ниже предоставлена Федеральной комиссией по регулированию энергетики ( FERC) для коммунальных предприятий, чтобы определить критичность своих технических плотин на основе количества людей, которым грозит риск в случае взлома.
Сбой или компрометация OT-систем также может повлиять на надежность сети, нарушить работу основных служб и поставить под угрозу общественную безопасность. Крупнейшие энергосистемы OT контролируют энергоснабжение по всей Северной Америке. Из-за взаимосвязанного характера энергосистемы Северной Америки даже несколько коммунальных предприятий, в которых происходят сбои OT, могут иметь каскадные последствия для всего региона или даже между регионами, вызывая массовые отключения электроэнергии (карта региона ниже).
Это произошло 9 ноября 1965 года, когда из-за сбоя в электроснабжении в Онтарио, Канада, было отключено электричество более чем 30 миллионам человек в некоторых частях Канады, Нью-Йорка, Нью-Джерси и большей части Новой Англии. А 14 и 15 августа 2003 года на северо-востоке США и юге Канады произошло крупнейшее в истории отключение электроэнергии. Затронутые территории простирались от Нью-Йорка, Массачусетса и Нью-Джерси на запад до Мичигана и от севера Огайо до Торонто и Оттавы, Онтарио. Это затронуло около 50 миллионов клиентов.
Так кто это регулирует?
Федеральная комиссия по регулированию энергетики (FERC) была создана в соответствии с Законом об организации Министерства энергетики 1977 года, подписанным президентом Джимми Картером. FERC является независимым агентством Министерства энергетики США (DOE), которое регулирует передачу электроэнергии, природного газа и нефти между штатами. Чтобы поддерживать надежность энергосистемы, FERC проверяет, утверждает и обеспечивает соблюдение обязательных стандартов надежности, разработанных организацией под названием Североамериканская корпорация по надежности электроснабжения (NERC).
Юрисдикция FERC в области надежности в первую очередь фокусируется на надежной работе энергосистемы. Цель состоит в том, чтобы обеспечить ежедневную работу сети в режиме реального времени путем разработки и обеспечения соблюдения операционных и бизнес-стандартов (см. «сетку», как она определена FERC ниже).
По данным FERC, надежность сети основана на двух ключевых элементах:
* Надежная работа. Надежная электросеть способна противостоять внезапным сбоям в работе электрической системы, которые могут привести к отключениям электроэнергии. * Адостаток ресурсов. Вообще говоря, достаточность ресурсов – это способность электросистемы удовлетворять энергетические потребности потребителей электроэнергии. Это означает наличие достаточного количества электроэнергии для удовлетворения прогнозируемого спроса на электроэнергию.
OT-системы используются для обеспечения «надежной работы» путем изоляции сбоев, чтобы они не распространялись по объединенной энергосистеме. Они используются для обеспечения «адекватности ресурсов» за счет оптимизации распределения электроэнергии на основе спроса в реальном времени и использования автоматической балансировки нагрузки для управления потоком энергии в соответствии с моделями потребления, предотвращая перегрузку.
OT-системы также отслеживают состояние оборудования, анализируя данные о производительности для прогнозирования потенциальных сбоев, обеспечивая упреждающее обслуживание и защищая жизни членов экипажа в полевых условиях. Они используют датчики и устройства мониторинга для обнаружения неисправностей, таких как короткие замыкания или неисправности оборудования, которые могут вызвать катастрофические и потенциально смертельные пожары. А в случае чрезвычайных ситуаций, таких как стихийные бедствия, OT-системы способствуют скоординированному реагированию. Они позволяют быстро изолировать пострадавшие районы и перенаправить электроэнергию, чтобы минимизировать последствия этих опасных для жизни событий.
Стабильная, защищенная и защищенная электроэнергетическая компания необходима для предотвращения сбоев, которые могут иметь каскадные последствия для различных секторов, включая больницы, дома престарелых, системы реагирования на чрезвычайные ситуации и другую критически важную инфраструктуру.
Когда мы думаем об ИТ-технологиях в этом контексте, мы беспокоимся об адекватной сегментации сети, чтобы избежать распространения киберугроз из ИТ-сетей, где они наносят ущерб, в OT-сети, где они потенциально могут иметь катастрофические последствия (см. иллюстрация сегментации сети AT&T ниже).
<блок-цитата>
А что, если я скажу вам, что атака на ИТ-сеть сама по себе также может иметь катастрофические последствия? Что вы не можете безопасно и надежно обеспечивать электроэнергию без ERP-систем? И что эти системы слишком часто являются хрупкими, незащищенными и недостаточно обеспеченными ресурсами?
Подробнее об этом во второй части
Оригинал