Fransa merkezli enerji devi EDF, Birleşik Krallık Nükleer Düzenleme Ofisi (ONR) tarafından seçildi ve kritik ulusal altyapı (CNI) operatörünün kurallara uymaması üzerine siber güvenlik için önemli ölçüde artırılmış düzenleyici ilgiye (mümkün olan en yüksek inceleme düzeyi) tabi tutuldu. Siber güvenlik duruşunu geliştirmeye yönelik daha önce verdiği taahhütlerle.
Rutin denetimlerde EDF’nin yönetişim, risk ve uyumluluk ile bir dizi teknik kontrol gibi alanlarda yetersiz kaldığını tespit etmesinden sonra ONR, 2022’de EDF’yi daha fazla ilgi altına almıştı. Bu sorunlardan bazılarının devam eden bir BT yükseltmesiyle ilgili olduğu anlaşılmaktadır.
ONR, son yıllık raporunda şunları söyledi: “EDF, üzerinde anlaşmaya varıldığı gibi Mart ayı sonuna kadar bize kapsamlı ve tam kaynaklara sahip bir siber güvenlik iyileştirme planı sağlama taahhüdünü yerine getirmedi.” [2023].
“Sonuç olarak, EDF’nin kurumsal merkezi, siber güvenliğe yönelik düzenleyici ilgiyi önemli ölçüde artıracak şekilde taşındı. EDF, özellikle siber güvenliği ele almak için iki yeni atama yaptı. Düzenleyici beklentilerin anlaşıldığından emin olmak için daha sonra EDF’nin kıdemli ekibiyle görüştük.”
Bir EDF sözcüsü Computer Weekly’ye şunları söyledi: “Uyguladığımız sağlam siber güvenlik düzenlemelerinin, enerji santrallerimizdeki tesis güvenliğine yönelik hiçbir risk olmadığı anlamına geldiğinden eminiz. Ayrıca bilgi güvenliğinin öneminin ve bilgi kaybıyla ilişkili risklerin de farkındayız. Siber güvenlik, tüm kuruluşlar için dinamik bir konudur ve incelemenin gelecekte rutin bir seviyeye dönmesine izin vermek için bunu yönetme şeklimizi sürekli olarak geliştireceğiz.”
EDF, County Durham’daki Hartlepool, Lancashire’daki Heysham, Suffolk’taki Sizewell ve Doğu Lothian’daki Torness tesisleri de dahil olmak üzere Birleşik Krallık’ın nükleer enerji altyapısının önemli bir bölümünü işletiyor. Çin Genel Nükleer Enerji Grubu ile birlikte, Somerset’teki gecikmeler ve maliyet aşımları nedeniyle sorunlu olan Hinkley Point C projesinin de arkasında yer alıyor.
Claroty’nin baş risk sorumlusu (CRO) Simon Chassar, operasyonun Birleşik Krallık’ın yüksek siber saldırı riski altında olduğu düşünülen enerji altyapısının kritik bir unsuru olarak statüsü göz önüne alındığında EDF’nin başarısızlıklarının bir “kırmızı bayrak” olduğunu söyledi. Ayrıca bunun Birleşik Krallık hükümetinin ve düzenleyici politikalarının başarısızlıklarına işaret ettiğini de sözlerine ekledi.
“Bunun nedeni, ICS güvenliğinin sağlanması için Birleşmiş Milletler ve 20 farklı sektör tarafından onaylanan ISA/IEC 62443 standart serisinin daha önce 2018 yılında onaylanıp yayınlanmasıdır. [industrial control system] otomasyon kontrolleri; ICS ortamlarını etkileyen ve bunların arızalanmasına ve yanlış veri beslemesine neden olan Stuxnet kötü amaçlı yazılımından 8 yıl sonra, dedi Chassar.
“Herhangi bir nükleer üretim istasyonuna yapılacak bir siber saldırı, hangi ulus devlet destekli veya suç grubu onu hedeflemeye karar verirse versin, Birleşik Krallık üzerinde büyük etkiler yaratabilir. Birleşik Krallık hükümeti, Birleşik Krallık enerji sektörü için Kanada ve Meksika için de geçerli olan Amerikan NERC-CIP güvenlik düzenlemesini benimsemeyi ve düzenleyici kuruma siber kontrollerde başarısızlığı uygulama yeteneği sağlamayı düşünmelidir; Teknolojinin benimsenmesinin doğrudan kontrolü, lisans kaybı ve mali etkiler de dikkate alınarak.
“Bağlantılı fiziksel varlıkları ve bunların güvenlik açıklarını (CVE-CVSS) ve bilinen istismarları (EPSS) hızlı bir şekilde tanımlayan bir teknolojinin uygulanması, doğal riski azaltmaya yönelik bir planın hemen başlayabilmesi için acil bir gerekliliktir; ardından anormallik uyarılarını ve bilinen uyarıları izleme amacıyla güvenlik operasyonlarına bağlamaya başlayın” diye ekledi.
Diğer konularda ilerleme
Başka bir yerde ONR, Birleşik Krallık’taki diğer nükleer enerji uzmanlarından bazılarının, özellikle de bir süredir düzenlemelerin önemli ölçüde yoğun ilgi altında olduğu Sellafield Ltd’nin siber güvenlik konusunda kaydettiği ilerlemeye dikkat çekti.
ONR, Sellafield Ltd’nin rutin düzenleyici dikkatine geri dönmesi için artık “açık bir eylem yolu” belirlediğini söyledi. “Sellafield Ltd’nin operasyonel ekiplerinin ve liderlerinin güvenlik risklerini ve bunların nasıl etkili bir şekilde yönetildiğini daha iyi anlamalarını sağlamak için çalıştık. Düzenleyici kurum, siber güvenlik de dahil olmak üzere bu alana katılma konusundaki istekliliklerinden memnuniyet duyduk” dedi.
ONR genel olarak sektörün, taahhütlere uygun olarak siber tehditlere karşı korumaya daha fazla yatırım yapılması gerektiğini kabul ettiğini söyledi. 2022 sivil nükleer siber güvenlik stratejisi.
Düzenleyici, “Accenture ile ortak olarak, siber güvenlik risk yönetiminde güçlü liderliğe olan ihtiyacı güçlendirmek için görev sahibi yönetici ekiplerine bir dizi brifing tamamladık ve diğer endüstrilerde başarıyla benimsenen ilgili iyi uygulamaların ayrıntılarını sunduk” dedi. .
“Siber güvenlik liderliği ve risk yönetimi düzenlemelerinin yeterliliğini değerlendirecek bir dizi tematik denetim başlattık. Bu çalışma devam ederken, ilk görüşler, bazı görev sahibi liderlik ekiplerinin, kuruluşları için uygun bir siber güvenlik stratejisini aktif olarak tanımlamalarını sağlamak için iyileştirmeler yapılması gerektiğini gösteriyor.
ONR, “Görev sahiplerinin ayrıca herhangi bir spesifik siber güvenlik riskini anlamak ve bunları uygun şekilde yönetmek için liderlik ekibinde gerekli becerilere sahip olduklarından emin olmaları gerekir” diye ekledi.
Genel olarak düzenleyici kurumun siberle ilgili, yönetişim düzenlemelerinin, liderliğin ve kültürün yeterliliğini değerlendirmeye odaklanan üç tematik önceliği vardır; risk yönetimi ve siber koruma; ve “onaylanmış güvenlik planları içindeki düzenlemelerin yeterliliğini kanıtlamaya” yönelik bütünsel bir yaklaşımın parçasını oluşturan bağımsız istihbarat odaklı güvence faaliyetleri.