La menace de piratage russe plane sur les gazoducs américains

L’attaque de mai 2021 contre Colonial Pipeline — considérée comme la plus grande cyberattaque réussie contre une infrastructure pétrolière de l’histoire des États-Unis – a conduit la Transportation Security Administration du Department of Homeland Security à publier la première cybersécurité obligatoire normes pour les canalisations, après des années de s’appuyer uniquement sur des lignes directrices volontaires. Mais les législateurs démocrates, les régulateurs et les experts en cybersécurité affirment que ces normes ne vont pas assez loin et ne répondent pas aux obligatoire normes qui le secteur américain de l’électricité a mis des années à se développer.

Les régulateurs américains ou les compagnies de gazoduc elles-mêmes doivent combler ce trou béant dans la sécurité énergétique du pays, disent les experts – notant que les secteurs du gaz et de l’électricité dépendent de plus en plus l’un de l’autre.

“Nous disons” gaz et électricité “comme s’ils étaient séparés – ils ne le sont pas”, a déclaré Craig Miller, professeur de recherche en génie électrique et informatique à l’Université Carnegie Mellon et ancien scientifique en chef de la National Rural Electric Cooperative Association. « Vous ne déplacez pas de gaz sans électricité : vous avez besoin de pompes. Et on ne fait pas d’électricité sans gaz.

L’invasion russe de l’Ukraine n’a fait qu’exacerber les craintes d’une cyberattaque contre des infrastructures énergétiques critiques. Secrétaire à l’énergie Jennifer Granholm a exhorté la semaine dernière les dirigeants de l’énergie à se préparer “au plus haut niveau possible” à une éventuelle cyberattaque de la Russie.

“Bien qu’il ne reste aucune menace crédible spécifique pour la patrie de la part de la Russie, à ma connaissance, le gouvernement américain a travaillé avec les propriétaires et les opérateurs du secteur de l’énergie pour se préparer à toutes les éventualités géopolitiques”, a-t-elle écrit dans une lettre aux organisations commerciales de l’industrie.

La nation est devenue plus dépendante du gaz naturel en tant que ressource énergétique – le carburant représentait 37% du mix électrique américain en 2021, selon la US Energy Information Administration, contre 25% il y a dix ans. — et les défis de relier les deux les systèmes énergétiques sont au centre des préoccupations des organismes de réglementation fédéraux depuis des années. Pendant ce temps, la technologie numérique gère de plus en plus les systèmes qui contrôlent les infrastructures critiques, rendant toutes les infrastructures énergétiques plus vulnérables aux cyber-risques.

Mais le relâché normes régissant le secteur du gaz fait des pipelines une cible plus importante, disent les détracteurs de la réglementation existante. Un rapport de 2021 de la société de cybersécurité Black Kite a estimé 28 pour cent des compagnies pétrolières et 25 % du secteur du gaz naturel sont « très susceptibles » de subir une attaque de ransomware, contre 17 % du secteur de l’électricité. Les conclusions se fondaient sur une analyse des systèmes de contrôle de l’énergie qui ont révélé que les entreprises n’avaient pas fait assez pour protéger leurs systèmes logiciels contre une cyberattaque.

La façon la plus simple de penser à la différence entre les industries – et à la façon dont les vulnérabilités des pipelines pourraient endommager le réseau – est d’imaginer les normes qu’une usine à gaz doit respecter, a déclaré Tobias Whitney, un ancien fonctionnaire de la North American Electric Reliability Corp. qui est maintenant vice-président de la stratégie et de la politique au entreprise de cybersécurité Fortress. Le NERC est l’autorité de réglementation du réseau électrique qui élabore et applique des normes de fiabilité sur le système d’alimentation en vrac. L’agence est réglementée par la Federal Energy Regulatory Commission.

Le secteur de l’électricité est régi par 13 normes de protection des infrastructures critiques élaborées par la NERC et la FERC, dont 12 sont liées à la cybersécurité. Une centrale électrique serait tenue de respecter ces normes – qui sont obligatoires et exécutoires – a déclaré Whitney, mais la station de compression de gaz naturel à un demi-mile de distance qui contrôle la façon dont le carburant circule vers l’usine via le système de pipeline ne serait pas soumise à ces mêmes normes. .

“Vous voyez une infrastructure de pipeline qui n’est pas sécurisée de la même manière que vous l’avez vue dans l’usine”, a déclaré Whitney. « Il n’y a pas de gardes, il y a un minimum de contrôles d’accès. Et ce compromis de cette station de pompage pourrait conduire à toute cette usine [being] inopérable.”

“Il y a là une vulnérabilité certaine : je n’ai pas besoin de détruire la centrale électrique si je veux perturber les opérations de cette centrale via l’infrastructure gazière”, a-t-il ajouté.

Les dirigeants de la FERC, qui peuvent ordonner à la NERC d’élaborer des normes spécifiques et d’approuver ces règles, ont passé des années à demander des réglementations pour l’industrie pipelinière qui reflètent les règles du secteur électrique. Dans un éditorial de 2018, le président de l’époque, Neil Chatterjee, un républicain, et l’actuel président Richard Glick, un démocrate, ont également fait valoir que la sécurité des pipelines devrait relèvent du ministère de l’Énergie. Le DOE, contrairement à la TSA, dispose d’un bureau entier dédié aux risques de cybersécurité, tandis que la TSA, en 2017, ne comptait que six employés à temps plein pour superviser la sécurité de plus de 2,6 millions de milliers de pipelines du pays, bien que l’agence ait depuis embauché plus de personnel et dit qu’il en a maintenant assez pour faire appliquer ses nouvelles règles.

Et un projet de plan de l’administration Trump en 2018 pour renflouer les centrales au charbon et nucléaires à des fins de “résilience” cité des problèmes de cybersécurité des gazoducs dans sa note de service diffusée auprès des groupes professionnels. “Les gazoducs sont de plus en plus vulnérables aux cyberattaques et aux attaques physiques”, indique le mémo. “L’incapacité de certains pipelines à travers les États-Unis aurait de graves effets sur la production d’électricité nécessaire pour alimenter les infrastructures critiques.”

Séparément, Rép. Bobby Rush (D-Ill.) a présenté un projet de loi à la fin de l’année dernière qui proposait de placer les normes de cybersécurité pour le secteur des gazoducs sous la juridiction de la FERC – créant une entité similaire à la NERC mais pour le secteur des pipelines.

“L’invasion de l’Ukraine par Vladimir Poutine a une fois de plus mis la question de la sécurité énergétique sous les projecteurs”, a déclaré Rush dans un communiqué envoyé par courrier électronique vendredi, ajoutant que son projet de loi créerait “des normes obligatoires, nécessaires – et franchement, en retard – qui traiteraient à la fois de la cyber et les risques physiques pour notre sécurité énergétique.

Mais le projet de loi n’a pas obtenu le soutien bipartisan. représentant fred upton (R-Mich.) a déclaré lors d’une audience que le projet de loi “étendrait considérablement la FERC : transformer une agence relativement petite en un géant doté de pouvoirs de réglementation sur le système énergétique américain”.

L’industrie pipelinière s’oppose également au projet de loi, affirmant qu’il « risque de compliquer et d’entraver les efforts en cours pour protéger les pipelines » en imposant « une autorité de surveillance fédérale faisant double emploi et conflictuelle,» selon l’Interstate Natural Gas Association of America. En outre, l’INGAA conteste l’idée que les normes de l’électricité sont plus strictes que celles de l’industrie du gaz, affirmant “ils sont simplement différents.”

Mais l’industrie des pipelines a également beaucoup de critiques pour les efforts de son régulateur actuel.

Depuis la cyberattaque sur le pipeline colonial, la TSA a émis deux directives à l’industrie des pipelines : la première exige que les propriétaires et les exploitants de pipelines signalent les incidents à l’agence de cybersécurité et de sécurité des infrastructures du DHS et qu’un coordinateur de la cybersécurité soit disponible 24h/24 et 7j/7 ; une seconde exige des propriétaires et des exploitants de pipelines mettre en œuvre des mesures pour prévenir ou limiter l’effet des attaques de rançongiciels et revoir la sécurité de leurs systèmes contre de telles attaques.

L’INGAA qualifie les normes de “très prescriptives” et a déclaré qu’elle préférerait certains des aspects les plus flexibles des normes d’électricité établies par la FERC et la NERC. Cependant, le groupe de pipelines propose que la TSA suive les directives de ces agences, plutôt que de transférer la surveillance à la FERC et à la NERC.

Le chef de la sécurité de Black Kite, Bob Maley, a également déclaré que les normes réglementaires « ne sont pas toujours la solution » dans la mesure où le gouvernement fédéral a tendance à ne pas être aussi agile que le secteur privé. Par exemple, le décret exécutif du président Joe Biden sur la cybersécurité publié l’année dernière contenait «beaucoup de bonnes choses», mais les rapports découlant du décret ne seront finalement publiés que deux ans après Colonial – date à laquelle les mauvais acteurs ont déjà probablement trouvé une nouvelle vulnérabilité à exploiter.

Whitney soutient que la surveillance de la FERC est une approche «raisonnable» pour s’assurer que les normes sont mieux intégrées dans les pratiques et les opérations quotidiennes qui accompagnent l’exploitation d’une centrale électrique. Donner à la FERC la surveillance de la cybersécurité sur le réseau de gazoducs permettrait à l’agence d’élaborer des normes pour les deux secteurs par étapes, y compris des protocoles de communication dictant comment les secteurs de l’électricité et du gaz devraient communiquer entre eux si une partie d’une installation tombe en panne, a-t-il déclaré.

Les industries ont été tourmentées par un manque de coordination ces derniers temps. Lors des pannes d’électricité qui ont frappé le Texas l’année dernière, laissant des millions de personnes sans électricité, l’un des problèmes identifiés par la FERC était que la plupart des infrastructures de gazoducs n’étaient pas enregistrées comme charge critique – c’est-à-dire lorsque l’opérateur du réseau de l’État a déclenché des pannes d’électricité, des stations de compression et d’autres équipements pipeliniers critiques qui ont besoin d’électricité pour fonctionner ont été fermés, bien qu’ils soient nécessaires au fonctionnement des usines de gaz naturel. Cela a contribué à de nouvelles pannes en réduisant la quantité de gaz disponible pour les centrales électriques.

Des questions similaires de coordination doivent trouver une réponse dans les protocoles de cybersécurité, a déclaré Whitney.

“S’il y a, par exemple, un incident de cybersécurité dans une installation de gaz naturel qui dessert une infrastructure électrique, qui devrait faire partie de cette communication?” J’ai demandé. « Quand l’installation de production et/ou le service public doivent-ils être informés s’il y a un problème ou un problème potentiel ? Qu’attend-on du partage d’informations entre le gaz naturel et l’électricité ? »

Le fait de placer le secteur du gaz sous la juridiction de la FERC tirerait parti de «l’énorme quantité d’infrastructures» de l’agence, y compris l’expertise du personnel et une réglementation bien définie processus qui comprend les commentaires de l’industrie.

La cyberattaque sur Colonial Pipeline a peut-être sensibilisé l’industrie à certaines des vulnérabilités de l’industrie des pipelines, Miller dit, mais en développement robuste protections “prend des années et nécessite un changement de culture”, y compris la formation de toute une main-d’œuvre, la création plusieurs couches de défense et une surveillance interne constante.

“Nous sommes en grande partie – en très grande majorité – non réglementés et non surveillés d’un point de vue cybernétique à la fois dans l’industrie du gaz et de l’électricité”, a-t-il déclaré.

«Après Colonial, les gens ont dit:« OK, c’est un gros travail; commençons à aller mieux.’ Mais c’est une longue liste. Vous ne pouvez pas simplement dire : « Installez cette pièce et surveillez-la ; il y a beaucoup plus à faire.