Aplicação prática para cumprir a norma NERC CIP-015-1

Há anos que a  NERC (North American Electric Reliability Corporation)  a conformidade com o CIP centrou-se fortemente na proteção do perímetro. O CIP-006 regulava o acesso físico, o CIP-007 bloqueava portas e serviços e o CIP-005 definia o ESP (Perímetro de Segurança Eletrónica). O pressuposto subjacente era que, se se controlasse o que atravessava a fronteira, controlava-se o risco. 

A CIP-015-1 rejeitou essa suposição e está em vigor desde setembro de 2025. Com o primeiro grande prazo de conformidade marcado para setembro de 2028, a diferença entre «já lemos a norma» e «já temos uma arquitetura funcional» começa a tornar-se relevante. 

A FERC (Comissão Federal Reguladora de Energia) aprovou a norma NERC CIP-015-1 como norma INSM (Monitorização da Segurança da Rede Interna) em 26 de junho de 2025, através da Ordem 907. A norma entrou em vigor em 2 de setembro de 2025. O prazo de conformidade é 2 de setembro de 2028 para os sistemas cibernéticos de alto impacto do BES (Sistema Elétrico em Massa) e os sistemas cibernéticos de médio impacto do BES com ERC (Conectividade Roteável Externa) nos Centros de Controlo. Todos os outros sistemas de médio impacto aplicáveis devem estar em conformidade até 2 de setembro de 2030.

O requisito fundamental é de grande importância operacional:

• As empresas de eletricidade devem monitorizar o tráfego no interior das suas redes de distribuição, e não apenas o que entra e sai dos limites da rede.

• A R1 exige que as entidades recolham fluxos de dados de rede com base numa abordagem orientada para o risco, detetem atividades anómalas, avaliem as anomalias detetadas e conservem os dados associados durante um período de tempo suficiente para apoiar as investigações.

• R2 e R3 abrangem a proteção e o controlo do acesso aos dados conservados. 

As entidades reguladoras já estão a olhar para o futuro, tendo a NERC recebido instruções para alargar a norma até setembro de 2026, de modo a abranger os EACMS (Sistemas Eletrónicos de Controlo de Acesso e Monitorização) e os PACS (Sistemas de Controlo de Acesso Físico) fora do ESP, que estão incluídos nafutura norma CIP-015-2. Esse prazo está agora a apenas alguns meses de distância. 

A implementação do INSM num ambiente OT não é o mesmo que implementar um SIEM (Gestão de Informações e Eventos de Segurança) num centro de dados empresarial. A monitorização deve ser passiva, uma vez que a análise ativa não é uma opção em ambientes ICS em funcionamento. É frequentemente utilizada uma vasta gama de protocolos, incluindo Modbus, DNP3, IEC 61850, PROFINET e EtherNet/IP, a par do tráfego IP padrão. Os inventários de ativos são frequentemente incompletos, o que significa que os projetos INSM começam normalmente com a descoberta antes de qualquer deteção ser possível. Além disso, transferir dados de monitorização da zona OT para um sistema de retenção do lado da TI, sem introduzir novos riscos de segurança, requer um planeamento arquitetónico intencional, e não apenas uma configuração.

O que, no papel, parece ser um projeto de OT de curta duração pode facilmente demorar 18 meses ou mais quando se têm em conta a implementação, a gestão da mudança e a documentação. Para as empresas de energia elétrica com ativos abrangidos pelo prazo de 2028, o prazo para o planeamento a longo prazo está a esgotar-se.

O portfólio de segurança OT OPSWATestá em total conformidade com os requisitos da norma CIP-015-1.

MetaDefender Security™ aborda as versões R1.1 a R1.3, com monitorização passiva e sem agentes da rede através de arquiteturas SPAN/TAP, sem injeção de tráfego e sem perturbação dos circuitos de controlo.

A inspeção profunda de pacotes em centenas de protocolos OT e IT permite a identificação de ativos, a definição de padrões de tráfego e a deteção de anomalias exigidas pelo R1. Isto permite às equipas de segurança identificar anomalias comportamentais, tais como comandos Modbus inesperados, ligações não autorizadas a estações de trabalho de engenharia e dispositivos desconhecidos, que as ferramentas tradicionais de segurança de TI muitas vezes ignoram.

MetaDefender fornece o que é necessário para dar resposta ao desafio do transporte de dados R2. O seu gateway de segurança unidirecional exporta telemetria INSM da zona OT para plataformas de análise e SIEM do lado da TI numa única direção, com imposição por hardware e sem caminho de retorno. As empresas de energia elétrica podem cumprir os requisitos de transferência de dados sem abrir um canal bidirecional que crie novas vulnerabilidades.

Mais concretamente,NetWall os dados de forma segura, enquanto as obrigações de retenção e controlo de acesso das categorias R2 e R3 são cumpridas pelo sistema recetor. A arquitetura de conformidade completa consisteOT Security e deteta, noNetWall dados com segurança, e num SIEM do lado das TI, que retém os dados e controla o acesso.

Para as empresas de energia elétrica que utilizam as plataformas de automação DeltaV™ ou Ovation™ da Emerson, o caminho para a conformidade é mais direto. Estas plataformas estão implementadas em centenas de instalações de produção de energia, água e tratamento de águas residuais, enquadrando-se nos proprietários de ativos BES abrangidos pelo âmbito da norma CIP-015-1.  OPSWAT a Emerson anunciaram um acordo de revenda global em abril de 2026, tornando o portfólio de cibersegurança OPSWATdisponível através do pacote de cibersegurança para energia e água da Emerson.  

A atual DeltaV Alliance jáMetaDefender eUnidirectional Security Gateway a plataforma DeltaV. Esta integração proporciona controlo de suportes removíveis e uma arquitetura de exportação de dados unidirecional que cumpre os requisitos das normas CIP-003-9 e CIP-015-1 R2, respetivamente.

O novo acordo alarga a gestão de patches OT OPSWATà plataforma Ovation da Emerson em mais de 800 instalações em todo o mundo,MetaDefender e Central Management My Central Management ambiente local. Para os clientes DeltaV e Ovation, está disponível uma arquitetura específica e compatível com CIP através da relação já existente com a Emerson.

A norma CIP 015-1 não existe isoladamente. É na intersecção entre a CIP-003-9, que entra em vigor a 1 de abril de 2026, e a CIP-015-1 que o portfólio OPSWATse revela especialmente eficaz. Os requisitos regulamentares da CIP-003-9 abrangem também os suportes removíveis e os ativos cibernéticos transitórios para os Sistemas Cibernéticos BES de Baixo Impacto.

Em ambientes OT, os suportes removíveis e os ativos cibernéticos transitórios são habitualmente utilizados para a aplicação de patches e atualizações de firmware em sistemas isolados.OPSWAT ajudam a analisar e a higienizar suportes removíveis e computadores portáteis de fornecedores antes de estes entrarem em contacto com um ativo do sistema de controlo. Com a entrada em vigor da norma CIP-003-9, se o seu programa se basear em políticas em vez de controlos tecnológicos, essa lacuna será passível de auditoria no seu próximo ciclo.