21वीं सदी में साइबर सुरक्षा बाजार अनुसंधान

हमारे बुनियादी ढांचे की सुरक्षा

मानव प्रयास के सभी पहलुओं में कंप्यूटर के बढ़ते वैश्विक महत्व और एकीकरण के साथ, साइबर अपराध में वृद्धि हुई है और अब यह आबादी, राष्ट्रों, सरकारों, व्यवसायों और महत्वपूर्ण बुनियादी ढांचे के लिए गंभीर खतरा प्रस्तुत करता है।  यह अनुमान लगाया गया है कि इंटरनेट जनित आपराधिक गतिविधियों से विश्व की अर्थव्यवस्था को प्रतिवर्ष $400 बिलियन से अधिक का नुकसान होता है. ₁ मौद्रिक मूल्य और संभावित खतरे यदि साइबर अपराध पर अंकुश नहीं लगाया गया तो यह निश्चित रूप से बढ़ता रहेगा.

हमारी ऊर्जा संरचना पर हमले संभवतः सबसे अधिक विनाशकारी हैं। हैक्टिविस्ट, विरोधी सरकारों, दुष्ट राज्यों, अर्ध-धार्मिक गुटों द्वारा, अकेले या मिलकर, कंप्यूटर हमले बढ़ रहे हैं और कुछ मामलों में वे अक्सर पुराने या अपर्याप्त अवसंरचनात्मक सुरक्षा-क्षेत्रों की परिधि को भेदने में सफल हो रहे हैं।  ऐसे आपराधिक प्रयासों के परिणाम भयावह हैं। कल्पना करें कि जल उपचार सुविधाएँ, ऊर्जा पाइपलाइनें, दूरसंचार, उपग्रह प्रणाली, बैंकिंग संस्थान और बिजली संयंत्र साइबर हमलों से अक्षम या नष्ट हो जाएँ। ऐसे आक्रमणों के परिणाम प्रभावित आबादी में चिंता और यहाँ तक कि अराजकता पैदा कर सकते हैं, जबकि अर्थव्यवस्थाएँ गंभीर रूप से कमज़ोर और क्षतिग्रस्त हो सकती हैं।

हर पल, इस बढ़ते साइबर अपराध के पीछे के लोग तकनीकी रूप से अधिक उन्नत होते जा रहे हैं और जासूसी, राजनीतिक चालबाज़ी, आतंकवाद और प्रत्यक्ष युद्ध के कृत्यों में महत्वपूर्ण अवसंरचना प्रणालियों को बाधित करने, तोड़फोड़ करने और समझौता करने के तरीकों की तलाश कर रहे हैं। अकेले 2013 में, अमेरिका में होमलैंड सुरक्षा अधिकारियों ने महत्वपूर्ण बुनियादी ढांचे को लक्षित करके साइबर अपराध के प्रयास की 256 घटनाओं की सूचना दी, जिनमें से अधिकांश ऊर्जा क्षेत्र में केंद्रित थीं। ₂ पूर्व रक्षा सचिव लियोन पेनेटा ने तो यहां तक दावा कर दिया कि अमेरिका एक ऐसे खतरे का सामना कर रहा है जिसे उन्होंने "साइबर पर्ल हार्बर" और "9/11 से पूर्व का क्षण" बताया।  उन्होंने संभावित रूप से दूषित जल आपूर्ति, बड़े पैमाने पर बिजली कटौती, तथा रेलगाड़ियों को जबरन पटरी से उतार दिए जाने की भयावह तस्वीर पेश की।₃

साइबर हमले करने के असंख्य तरीके हैं जिनमें मैलवेयर, वायरस, वर्म्स, स्पाइवेयर, पासवर्ड हमले, क्रूर बल घुसपैठ और DoS (सेवा से इनकार) हमले शामिल हैं। साइबर हमले के ये तरीके महत्वपूर्ण बुनियादी ढांचे की सुरक्षात्मक प्रणालियों को ओवरलोड या संक्रमित कर सकते हैं, जिससे उन्हें भेदना आसान हो जाता है। यदि हमले की पद्धतियों और साइबर अपराध के अपराधियों की सही तरीके से पहचान नहीं की जाती और उन्हें रोका नहीं जाता है, तो रक्षा प्रणालियाँ और लक्षित बुनियादी ढाँचे अक्षम या नष्ट भी हो सकते हैं।

12 फरवरी को^वां, 2013, अमेरिकी राष्ट्रपति बराक ओबामा ने जारी किया कार्यकारी आदेश 13636, "महत्वपूर्ण बुनियादी ढांचे की साइबर सुरक्षा में सुधार करना, जिसने स्थापित किया कि "यह संयुक्त राज्य अमेरिका की नीति है कि राष्ट्र के महत्वपूर्ण बुनियादी ढांचे की सुरक्षा और लचीलापन बढ़ाया जाए और एक साइबर वातावरण बनाए रखा जाए जो सुरक्षा, सुरक्षा, व्यापार गोपनीयता, गोपनीयता और नागरिक स्वतंत्रता को बढ़ावा देते हुए दक्षता, नवाचार और आर्थिक समृद्धि को प्रोत्साहित करे।"₄

इस आदेश के कारण साइबर सुरक्षा ढांचे की स्थापना हुई, जिसे साइबर अपराध के मुद्दों से निपटने में संगठनों की सहायता के लिए डिज़ाइन किया गया था। निजी क्षेत्र और सरकार के बीच यह संयुक्त प्रयास संचार के लिए एक समान भाषा स्थापित करने और प्रभावी साइबर सुरक्षा उपायों को लागू करने के लागत-सचेत तरीकों पर केंद्रित था। कार्यकारी आदेश 13636 से संबंधित कोई प्रत्यक्ष विनियमन अधिनियमित नहीं किया गया था।

राष्ट्रपति ओबामा ने निर्देश दिया एनआईएसटी, राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान को कार्यकारी आदेश से सीधे प्रभावित होने वाले संस्थानों और व्यवसायों के साथ काम करने के लिए कहा गया है, जिसका उद्देश्य राष्ट्र के महत्वपूर्ण बुनियादी ढांचे पर साइबर अपराध के जोखिम को कम करने के लिए एक स्वैच्छिक योजना बनाना है।  ये सभी प्रयास विभिन्न क्षेत्रों में मानकों और प्रक्रियाओं को एकीकृत करने और ऐसे दिशा-निर्देश बनाने के लिए किए गए थे जिन्हें तेजी से लागू किया जा सके। इस उद्देश्य के लिए, अंतर-उद्योग संचार और सहयोग को भी प्रोत्साहित किया गया। एनआईएसटी ने फरवरी 2014 में फ्रेमवर्क का पहला मसौदा पेश किया, साथ ही एक रोडमैप भी जारी किया, जिसमें फ्रेमवर्क के लिए संस्थान की इच्छित भविष्य की दिशा का खुलासा किया गया।

जैसा कि अनुमान लगाया जा रहा है, साइबर अपराध, हैकटिविज्म, साइबर आतंकवादी गतिविधि और साइबर युद्ध को रोकने के प्रयासों में सरकारी एजेंसियों और निजी क्षेत्र के हितों का एक विस्तृत जाल शामिल है। एनईआरसी, नॉर्थ अमेरिकन इलेक्ट्रिक रिलायबिलिटी कॉर्पोरेशन।  एनईआरसी "एक गैर-लाभकारी अंतर्राष्ट्रीय नियामक प्राधिकरण जिसका मिशन उत्तरी अमेरिका में थोक बिजली प्रणाली की विश्वसनीयता सुनिश्चित करना है।” ₅ अमेरिका, कनाडा और बाजा कैलिफोर्निया, मेक्सिको के कुछ हिस्सों के लिए जिम्मेदार, NERC विश्वसनीयता मानक बनाता है और उन्हें लागू करता है। यह उद्योग कर्मियों के प्रशिक्षण और प्रमाणन में भी शामिल है।

The सीआईपीसी (क्रिटिकल इंफ्रास्ट्रक्चर प्रोटेक्शन कमेटी) एनईआरसी के तहत काम करती है। यह उद्योग से साइबर, संचालन और भौतिक सुरक्षा विशेषज्ञों से बना है। इसमें बिजली उप-क्षेत्र समन्वय परिषद भी शामिल है (ईएससीसी) जो संघीय सरकार के साथ मिलकर महत्वपूर्ण बुनियादी ढांचे की सुरक्षा के लिए अवधारणाओं और संसाधनों को विकसित करने और पहचानी गई प्रणालीगत कमजोरियों के संबंध में महत्वपूर्ण सूचनाओं के आदान-प्रदान में तेजी लाने के लिए काम करता है।

एनईआरसी की देखरेख किसके द्वारा की जाती है एफईआरसीसंघीय ऊर्जा विनियामक आयोग। एफईआरसी "एक स्वतंत्र एजेंसी है जो बिजली, प्राकृतिक गैस और तेल के अंतरराज्यीय संचरण को नियंत्रित करती है। एफईआरसी तरलीकृत प्राकृतिक गैस (एलएनजी) टर्मिनल और अंतरराज्यीय प्राकृतिक गैस पाइपलाइनों के निर्माण के साथ-साथ जलविद्युत परियोजनाओं को लाइसेंस देने के प्रस्तावों की भी समीक्षा करता है।"₆   2005 में, ऊर्जा नीति अधिनियम ने FERC को और भी अधिक जिम्मेदारियां सौंपी, जिनमें बुनियादी ढांचे की सुरक्षा, विश्वसनीयता और संरक्षा को बढ़ावा देना भी शामिल था।

राष्ट्रपति ओबामा ने फरवरी 2015 में स्टैनफोर्ड विश्वविद्यालय में बोलते हुए अनुरोध किया कि साइबर अपराध से लड़ने के लिए अमेरिकी सरकार और तकनीकी क्षेत्र आपस में सहयोग करें। एडवर्ड स्नोडेन द्वारा राष्ट्रीय सुरक्षा प्रशासन से संबंधित लीक के बाद विश्वास की भावना को फिर से स्थापित करने की कोशिश (एनएसए), राष्ट्रपति ओबामा ने माना कि देश के अधिकांश महत्वपूर्ण बुनियादी ढांचे और कंप्यूटर नेटवर्क निजी क्षेत्र में हैं, जिसके कारण प्रस्तावित संयुक्त प्रयास की आवश्यकता है। उन्होंने इस तथ्य पर भी जोर दिया कि सरकार अक्सर साइबर सुरक्षा खतरों से संबंधित जानकारी प्राप्त करने वाली पहली होती है, जो एकीकृत खतरे से लड़ने के प्रयास के लाभों को और मजबूत करती है। राष्ट्रपति के शब्द हाल ही में हुए हमलों से प्रेरित हो सकते हैं, जिनके बारे में माना जाता है कि वे उत्तर कोरिया द्वारा किए गए थे। इसके अलावा, जनवरी में जिहादी नेटवर्क में इस्लामिक स्टेट के समर्थकों द्वारा यूएस सेंट्रल कमांड, ट्विटर और यूट्यूब से जुड़ी हैकिंग गतिविधियाँ देखी गईं। ₇ होम डिपो, जेपी मॉर्गन चेस और एंथम भी हाल ही में हैकिंग की घटनाओं का शिकार हुए थे। 

राष्ट्रपति के प्रमुख सलाहकारों ने खुलासा किया कि तीन नए साइबर सुरक्षा समूह बनाए गए हैं। यह एक नए कार्यकारी आदेश के बाद आया है जो निजी क्षेत्र और सरकार के बीच सूचनाओं को एकत्रित करने की फेड की क्षमता को मजबूत करता है। उद्घाटन संस्थाओं में साइबर रिस्पांस ग्रुप, साइबर थ्रेट इंटेलिजेंस इंटीग्रेशन सेंटर और नेशनल साइबरसिक्योरिटी एंड कम्युनिकेशंस इंटीग्रेशन सेंटर शामिल हैं। भविष्य में भी इनका निरंतर विकास देखने को मिलेगा आईएसएओ (सूचना और विश्लेषण साझा करने वाले संगठन) जिससे महत्वपूर्ण साइबर सुरक्षा जानकारी के एकत्रीकरण में काफी सुविधा होगी।

एनईआरसी अनुपालन के लिए प्रमुख चालक

एनईआरसी विश्वसनीयता मानकों का बिजली कंपनियों पर अमिट प्रभाव पड़ा है। चूंकि ऊर्जा क्षेत्र के भीतर संस्थाएं इन नए मानकों के अनिवार्य कार्यान्वयन को संबोधित करती हैं, इसलिए अनुपालन और अधिनियमन के प्रमुख चालक प्रभावित कंपनियों के आकार, सी सूट में दृष्टिकोण, शेयरधारकों के दबाव और विक्रेताओं के बाहरी प्रभाव के आधार पर भिन्न होते हैं। एनईआरसी पूरे प्लेटफ़ॉर्म पर ब्रॉडबैंड कौशल को बढ़ाने और बल्क पावर सिस्टम के भीतर साइबर सुरक्षा पदचिह्न को पुष्ट करने के प्रयास में महत्वपूर्ण सुरक्षा पेशेवरों के प्रशिक्षण और प्रमाणन की सुविधा प्रदान करना जारी रखता है। जैसे-जैसे साइबर अपराधियों की तकनीकी क्षमताएँ बढ़ती हैं, हमारे कमजोर ऊर्जा बुनियादी ढाँचे की सुरक्षा करने वालों को अंतर-उद्योग संचार के माध्यम से और एनईआरसी और संबंधित सरकारी एजेंसियों के साथ सहयोग करके एक कदम आगे रहना चाहिए।

एनईआरसी सीआईपी 

एनईआरसी सीआईपी अनुपालन, साइबर हमलों और सेवा व्यवधानों से महत्वपूर्ण बुनियादी ढांचे की परिसंपत्तियों की रक्षा के लिए सुरक्षा एजेंडा और प्रोटोकॉल विकसित करने में उपयोगिताओं की सहायता करता है। महत्वपूर्ण अवसंरचना संरक्षण (सीआईपी) मानदंड अनुपालन के लिए आवश्यक आवश्यकताओं को परिभाषित करते हैं और सुनिश्चित करते हैं कि थोक बिजली प्रणालियाँ विश्वसनीयता बनाए रखें। तेजी से तकनीकी प्रगति और साइबर हमलावरों की बढ़ती क्षमताएँ अनुपालन को तेजी से कठिन और महत्वपूर्ण बनाती हैं। अब पाँचवें एकीकरण (संस्करण 5) में, CIPs मानक किसी कंपनी की महत्वपूर्ण संपत्तियों की पहचान करने में मदद करते हैं और यह पहचानने में सहायता करते हैं कि उन संपत्तियों से कौन जुड़ा हुआ है और किन संस्थाओं की उन तक पहुँच है। NERC CIPs में तार्किक सुरक्षा, भौतिक सुरक्षा और सुरक्षा प्रबंधन नियंत्रण शामिल हैं। चरण 8 और 9 प्रभावी साइबर सुरक्षा प्रतिक्रिया और आपदा वसूली को संबोधित करते हैं।

इन मानकों और विनियमों के बावजूद, कुछ लोगों को लगता है कि पर्याप्त कदम नहीं उठाए जा रहे हैं। सवाल उठता है; क्या सरल अनुपालन पर्याप्त है? क्या यह वास्तव में 21 वर्ष में हमारे आवश्यक बिजली बुनियादी ढांचे की आवश्यक सुरक्षा और संरक्षण प्रदान करता है?^{अनुसूचित जनजाति} यह आलेख उस मुद्दे को संबोधित करना जारी रखेगा। 

एनआईएसटी फ्रेमवर्क

एनआईएसटी साइबर सुरक्षा फ्रेमवर्क में सभी क्षेत्रों में भविष्य के व्यवहार को संचालित करने की क्षमता है।  यह रूपरेखा इस अर्थ में अज्ञेयवादी है कि यह साइबर सुरक्षा के बारे में बात करने वाले लोगों के बीच संवाद को सामान्य बनाने में सहायता करती है, तथा विचारों, अवधारणाओं और सिद्धांतों के एक समूह के इर्द-गिर्द एकीकरण की अनुमति देती है।

एनआईएसटी विशेष प्रकाशन 800-53 संशोधन 4 फ्रेमवर्क का एक अद्यतन है, जो "मुख्य रूप से विस्तारित खतरे के क्षेत्र से प्रेरित है - जो साइबर हमलों की बढ़ती परिष्कृतता और विरोधियों की परिचालन गति (यानी, ऐसे हमलों की आवृत्ति, हमलावरों की व्यावसायिकता और हमलावरों द्वारा लगातार निशाना बनाए जाने) से चिह्नित है।"₈ 800-53 अनुप्रयोग सुरक्षा, मोबाइल/क्लाउड कंप्यूटिंग और आपूर्ति श्रृंखला रक्षा से सीधे संबंधित सुरक्षा नियंत्रणों के विकास में तेजी ला रहा है।

एनआईएसटी फ्रेमवर्क हमारे महत्वपूर्ण ऊर्जा बुनियादी ढांचे के लिए साइबर सुरक्षा को बेहतर बनाने में एक महत्वपूर्ण घटक है। इसमें उस तरह की बातचीत को उत्पन्न करने की क्षमता है जो खतरों के आधार को बेहतर ढंग से समझने के लिए आवश्यक है और उद्योग के पेशेवर उन साइबर खतरों का सबसे अच्छा जवाब कैसे दे सकते हैं, चाहे वे उन्नत और लगातार खतरे हों, या फिर वे रोजमर्रा के हैकर्स का काम हों।

अनुपालन हेतु प्रेरित

जैसे-जैसे बिजली क्षेत्र और अन्य उद्योग आगे बढ़ रहे हैं, अनुपालन ही विकसित साइबर सुरक्षा उपायों के कार्यान्वयन के संबंध में बदलाव के लिए एक प्रमुख प्रेरक और चालक रहा है। केवल तेल और गैस के सबसे बड़े संगठन, जो अक्सर बहुराष्ट्रीय पाइपलाइन उपक्रमों का हिस्सा होते हैं, वैश्विक स्तर पर साइबर हमलों के लिए आकर्षक लक्ष्य के रूप में देखे जाते हैं। ये वे कंपनियाँ हैं जो स्वेच्छा से अपने दम पर साइबर सुरक्षा मानकों का अनुपालन करने के लिए आगे बढ़ रही हैं। यह कथित लक्ष्यीकरण वास्तव में एक प्रेरक है। छोटी कंपनियाँ लक्षित महसूस करने के लिए कम इच्छुक होती हैं, इसलिए वे मुख्य रूप से अनुपालन आवश्यकताओं से ही प्रेरित होती हैं।

सी-सूट का प्रभाव

जब एनईआरसी अनुपालन की बात आती है तो कई संगठन मुख्य रूप से अपने सी-सूट के निर्णयों से प्रेरित होते हैं। प्रभावित संगठनों के भीतर बहुत सारे शक्ति संघर्ष होते हैं कि कौन क्या नियंत्रित कर रहा है और किसके पास किसी दिए गए कंपनी के भीतर चीजों को करने का अधिकार और प्रेरणा है। अक्सर, आईटी और ओटी कर्मियों के बीच एक वियोग होता है, जिससे उपयोगी सहयोग की कमी होती है। विनियमों को नजरअंदाज नहीं किया जा सकता है, और वे संगठनों को अनिवार्य तरीकों से काम करने के लिए प्रोत्साहन प्रदान करते हैं, लेकिन अनुपालन सुरक्षा से अलग है। वास्तविक सुरक्षा का गठन करने वाली कंपनी या अपने आप में अनुपालन पर्याप्त है या नहीं, इस बारे में कंपनी दर कंपनी बहुत भिन्नता है। जो लोग केवल अनुपालन के लिए समझौता करते हैं, वे खुद को हैकिंग और साइबर हमलों के प्रति संवेदनशील बना सकते हैं।

हितधारकों और शेयरधारकों को संतुष्ट करना

एनईआरसी मानकों के क्रियान्वयन में सरकार और निजी उद्योग को दूसरों पर विचार करना होगा। जब साइबर सुरक्षा प्रयासों की बात आती है तो लॉबिस्ट और उनके प्रतिनिधि बहुत कुछ दांव पर लगाते हैं, जैसा कि निजी क्षेत्र के उद्योगों में शेयरधारकों का होता है। दोनों को संतुष्ट होना चाहिए और इसे हासिल करना कोई छोटी उपलब्धि नहीं है। सरकार पर अनुपालन सीमा को कम रखने का दबाव है, जिससे बिजली क्षेत्र के लिए वास्तव में इसे हासिल करना मुश्किल हो जाता है असली साइबर हमलों के खिलाफ सुरक्षा। उपयोगिता उद्योग में, किसी भी विनियामक निरीक्षण में पैसा खर्च होता है जो कि अंतिम परिणाम है जो बदले में शेयरधारक को प्रभावित करता है। सूचना के किसी भी सार्थक आदान-प्रदान के लिए एक साथ प्रयास की आवश्यकता होगी। जैसा कि राष्ट्रपति ओबामा ने हाल ही में साइबर सुरक्षा शिखर सम्मेलन में कहा, “सरकार अकेले ऐसा नहीं कर सकती। लेकिन तथ्य यह है कि निजी क्षेत्र भी अकेले ऐसा नहीं कर सकता क्योंकि अक्सर नए खतरों के बारे में नवीनतम जानकारी सरकार के पास ही होती है।”₉

विक्रेताओं का प्रभाव

ऊर्जा क्षेत्र में साइबर सुरक्षा उपायों के चल रहे कार्यान्वयन में विक्रेता अपना प्रभाव डालने का प्रयास कर रहे हैं। अधिकांश कंपनियाँ जिनके पास अंतर्राष्ट्रीय नियंत्रण प्रणाली है, वे विभिन्न विक्रेताओं के उपकरणों का उपयोग करती हैं।  ये विक्रेता अपने उत्पादों में अपनी सुरक्षा और दृश्यता को शामिल करते हैं। "ऐसा प्रतीत होता है कि कोई भी एकल इकाई नहीं है जो सभी अलग-अलग डेटाबेस प्रबंधन प्रणालियों को एकीकृत करने और उपयोगकर्ताओं को एकल, एकीकृत क्वेरी इंटरफ़ेस प्रदान करने के लिए HDB (विषम डेटाबेस सिस्टम) बना रही है।" ₁₀ इसके लिए न केवल मानक निकायों को निर्माताओं के साथ संवाद करने की आवश्यकता है; इसमें निर्माताओं को एक संघ बनाने के लिए आपस में बात करना भी शामिल है। सभी बातों पर विचार करने पर, कोई भी एक इकाई NERC अनुपालन के लिए मुख्य चालक नहीं होगी। सफल कार्यान्वयन को प्राप्त करने के लिए अंतिम उपयोगकर्ताओं, मानक निकायों और अंतर्राष्ट्रीय नियंत्रण प्रणाली विक्रेताओं को प्रयासों को एकीकृत करना चाहिए।

ऊर्जा क्षेत्र सुरक्षा में प्राथमिक प्रभावक

जबकि एनईआरसी का यकीनन सबसे बड़ा प्रभाव है, अन्य बाहरी कंपनियां, अनुपालन निकाय और मंच भी ऊर्जा क्षेत्र में सुरक्षा संचालन का समर्थन और संवर्धन करते हैं। एनईआरसी सबसे मजबूत है क्योंकि वे संघीय ऊर्जा विनियामक आयोग के लिए एक प्रत्यायोजित प्राधिकरण हैं (एफईआरसी) उनके पास विनियामक निरीक्षण है जो यह निर्धारित करता है कि किन सुरक्षा मानकों का पालन किया जाना चाहिए और उनके पास जुर्माना लगाने की क्षमता है जिसका महत्वपूर्ण वित्तीय प्रभाव पड़ता है। एनईआरसी के पास सोशल मीडिया पर बिजली कंपनियों को प्रभावित करने, कंपनी की संस्कृति को प्रभावित करने और उनकी प्रतिष्ठा को प्रभावित करने की क्षमता है।  उनके स्पष्ट प्रभाव के बावजूद, इसमें कुछ संदेह है कि एनईआरसी के पास वह तकनीकी क्षमता है जो कि आवश्यक है।

एनईआरसी सीआईपी का अनुपालन तब तक किया जाना चाहिए जब तक कि संघीय क्षेत्र में कोई इकाई मौजूद न हो। टीवीए और बोनविले पावर जैसे संघीय पक्ष के कुछ बिजली संयंत्रों को अतिरिक्त काम करना है। उन्हें एनईआरसी सीआईपी अनुपालन मानकों को पूरा करना होगा और साथ ही एफआईएसएमए (फेडरल इंफॉर्मेशन सिक्योरिटी मैनेजमेंट एक्ट) और एनआईएसटी (नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी) आवश्यकताओं और दिशानिर्देशों को भी पूरा करना होगा। वे यह सुनिश्चित करना चाहते हैं कि वे सीआईपी लक्ष्यों और एनआईएसटी नियंत्रण लक्ष्यों को पूरा करें, और प्रक्रिया को दोहराने और अनावश्यक काम में संलग्न होने से बचें। 

स्पिक चंडीगढ़, भारत में स्थित (सोसाइटी फॉर द प्रमोशन ऑफ इन्फॉर्मेशन टेक्नोलॉजी) उद्योग मानकीकरण के लिए स्मार्ट ग्रिड के विकास में प्रभावशाली रहा है। यूरोप में, अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल आयोग (आईईसी) “कंपनियों, उद्योगों और सरकारों को उनके लिए आवश्यक अंतर्राष्ट्रीय मानकों को पूरा करने, चर्चा करने और विकसित करने के लिए एक मंच प्रदान करता है। उद्योग, वाणिज्य, सरकार, परीक्षण और अनुसंधान प्रयोगशालाओं, शिक्षाविदों और उपभोक्ता समूहों के 10,000 से अधिक विशेषज्ञ IEC मानकीकरण कार्य में भाग लेते हैं।”₁₁ आईईसी अंतर्राष्ट्रीय मानकीकरण संगठन के साथ मिलकर काम करता है (आईएसओ) और अंतर्राष्ट्रीय दूरसंचार संघ (आईटीयू) वैश्विक मानकों को एकीकृत और एकीकृत करना तथा दुनिया भर के उद्योग विशेषज्ञों के ज्ञान को एक साथ लाना। 

भविष्य में एनईआरसी मानकों पर क्या प्रभाव पड़ेगा?

साइबर हमले, हैकिंग और जासूसी का हमेशा मौजूद खतरा ऊर्जा अवसंरचना को सुरक्षित करने के लिए डिज़ाइन किए गए NERC मानकों और संबंधित उद्योग उपायों के भविष्य के विकास को आकार देना और निर्देशित करना जारी रखेगा। अन्य देश, सरकारें और शत्रुतापूर्ण राजनीतिक/धार्मिक गुट संभावित रूप से उत्तरी अमेरिका और हमारी थोक बिजली प्रणाली को निशाना बना सकते हैं। जब कोई अमेरिका और विदेशों में साइबर सुरक्षा के भविष्य को देखता है तो यह निश्चित रूप से एक गतिशील कारक है। अगले कुछ वर्षों में निश्चित रूप से शिक्षित भविष्यवाणियों और प्रवृत्ति विश्लेषण पर वर्तमान निर्भरता के विपरीत अधिक वास्तविक समय का पता लगाने की क्षमताओं का आगमन होगा।

ऊर्जा अवसंरचना की सुरक्षा को मजबूत करने के लिए हाल ही में उद्योग-व्यापी प्रयासों के बावजूद, कुछ लोगों को लगता है कि आज निर्मित और तैनात की गई प्रणालियाँ उच्च-स्तरीय साइबर हमलों का सामना नहीं कर सकती हैं। इस उद्देश्य से, NIST विशेष प्रकाशन 800-160 “ऐसी प्रणाली सुरक्षा इंजीनियरिंग प्रक्रियाओं को परिभाषित करने का प्रयास करता है जो सुस्थापित, अंतर्राष्ट्रीय मानकों पर आधारित प्रणालियों और सॉफ़्टवेयर इंजीनियरिंग प्रक्रियाओं से कसकर जुड़ी हुई हैं और उनमें पूरी तरह से एकीकृत हैं।”₁₂ "इसे सही तरीके से बनाएँ, निरंतर निगरानी करें" के आदर्श वाक्य के तहत काम करते हुए, उन्होंने चार-चरणीय परियोजना शुरू की है जो सिस्टम डेवलपर्स और इंटीग्रेटर्स को अपने सॉफ़्टवेयर और सिस्टम में NIST सुरक्षा प्रथाओं को शामिल करने की अनुमति देती है। यह भी उम्मीद है कि 800-160 साइबर हमलों के खतरे को कम करने के हित में सिस्टम इंजीनियरों और सिस्टम सुरक्षा इंजीनियरों के बीच बेहतर संवाद की सुविधा प्रदान करेगा।

प्रौद्योगिकी-संचालित परिवर्तन

ऐसा लगता है कि उत्तरी अमेरिका में ऊर्जा क्षेत्र के साइबर सुरक्षा प्रयासों के पक्ष में समय नहीं है। विनियामक निकाय प्रगतिशील परिवर्तन को बढ़ावा देने की कोशिश कर रहे हैं, लेकिन अंतरराष्ट्रीय नियंत्रण प्रणाली विक्रेता अक्सर धीमी गति से आगे बढ़ते हैं, और बड़ी कंपनियाँ अक्सर ऐसी किसी भी चीज़ में निवेश करने को तैयार नहीं होती हैं जो उनके अपने सिस्टम से परे हो। उभरती हुई प्रौद्योगिकियाँ बाज़ार को जगाने और ओटी कर्मियों को ऐसे अभिनव उत्पाद स्थापित करने की अनुमति देने के लिए आवश्यक परिवर्तन-एजेंट हो सकती हैं जो उनके संचालन को बाधित न करें। ये प्रौद्योगिकियाँ आईटी पेशेवरों को उचित सुरक्षा उपाय प्रदान करने में भी सक्षम करेंगी।

निजी ऊर्जा क्षेत्र में अधिकांश बड़े व्यवसायों के लिए परिवर्तन स्वयं एक बाधा है। अक्सर, उनके पास वर्तमान में जो तकनीक है, वह कई वर्षों से परिचालन में है। इसे नए और अधिक सुरक्षित सुरक्षा उत्पादों के साथ एकीकृत करने के लिए डिज़ाइन नहीं किया गया है। एंटरप्राइज़ सुरक्षा विक्रेताओं द्वारा प्रस्तुत नए दृष्टिकोणों को अक्सर प्रतिरोध का सामना करना पड़ता है, और उपयोग किए जाने वाले नए उत्पाद विभिन्न एंटरप्राइज़ समाधानों का एक मिश्रण होते हैं जिन्हें मौजूदा सिस्टम के साथ एकीकरण के लिए समायोजित करने की आवश्यकता होती है।

आदर्श रूप से, एक सुरक्षात्मक तकनीकी सुरक्षा ताने-बाने की आवश्यकता है जो थोक बिजली उद्योग को कवर करे, लेकिन इसके लिए शुरुआती निवेश की आवश्यकता होती है जिसे कुछ ही लोग करने को तैयार हैं। कोई भी उन आईटी और ओटी समूहों को समेकित करने के एजेंडे को आगे नहीं बढ़ा रहा है ताकि वे वास्तव में नई तकनीक स्थापित करने में एक साथ काम कर सकें। यहां तक कि एचएमआई या संचालन से संबंधित किसी भी मशीन को पैच करने जैसी अल्पविकसित प्रक्रिया भी एक कठिन चुनौती है। एनईआरसी संस्करण 5 ने पैचिंग नियम लागू किए हैं, लेकिन जब प्रक्रिया स्वचालित होती है, तब भी विक्रेताओं को पैच को मंजूरी देने में अक्सर महीनों लग जाते हैं, और इस बीच, बिजली संयंत्रों को सुरक्षा नहीं मिल पाती है।

सुरक्षा जीवनचक्र में मुख्यधारा संगठनात्मक प्रक्रियाएँ

सुरक्षा नियंत्रणों को अधिक व्यापक और प्रभावी बनाने के लिए अंतर-एजेंसी मानचित्रण की सख्त जरूरत है। NERC CIPs, ISO 27000 नियंत्रण, जो भी उत्पाद कंपनियाँ अपने साइबर सुरक्षा प्रयासों को बढ़ाने के लिए उपयोग करती हैं; क्या ये NIST या ISO द्वारा किए गए कार्यों से मेल खाएँगे?  इन अलग-अलग मानकों और नियंत्रणों को पार करने के लिए "सर्वोत्तम प्रथाओं" का एक सेट आवश्यक हो जाता है। ऐसे निर्माताओं के लिए जो एक्सेस कंट्रोल और पहचान, प्रमाणीकरण और सिस्टम क्रिप्टोग्राफी का निर्माण करते हैं, यह प्रक्रिया और भी जटिल हो सकती है। अक्सर, डेवलपर्स के लिए महत्वपूर्ण स्रोत कोड और अन्य महत्वपूर्ण डिज़ाइन तत्व अप्राप्य होते हैं; सिस्टम के हार्डवेयर, सॉफ़्टवेयर और फ़र्मवेयर में दबे होते हैं, जिन तक उनकी कोई पहुँच नहीं होती है। इस स्थिति को ठीक करने के लिए, NERC CIPs, NIST और ISO नियंत्रणों को सुरक्षा जीवनचक्र की डिज़ाइन और विकास प्रक्रिया में जल्दी एकीकृत करने की आवश्यकता है। अंततः, साइबर सुरक्षा रक्षा एक टीम खेल है। महत्वपूर्ण बुनियादी ढांचे को न केवल चालू होना चाहिए, बल्कि इसे 24/7 काम करना चाहिए। सार्वजनिक और निजी क्षेत्रों में कई प्रमुख खिलाड़ी शामिल हैं, और सकारात्मक पक्ष यह है कि डेवलपर्स पहले से ही कई चीजें कर रहे हैं जो उन्हें करने की आवश्यकता है।

साइबर सुरक्षा बीमा

साइबर-घटनाओं (डेटा चोरी, नेटवर्क विनाश, और वाणिज्य में व्यवधान) से होने वाले नुकसान को कम करने के लिए डिज़ाइन किया गया साइबर सुरक्षा बीमा कार्यान्वयन के शुरुआती चरणों में है। यह क्रेडिट कार्ड/भुगतान उद्योग में पहले से ही स्पष्ट है। बीमा कंपनियाँ एक अभियान के शुरुआती चरणों में हैं और यह कोशिश कर रही हैं कि एक बीमा पॉलिसी क्या है। बड़ा जोखिम यदि बिजली उत्पादकों को साइबर जोखिमों के विरुद्ध बीमा किया जाए तो बीमा कैसा होगा और कैसा दिखेगा। इसमें कुछ समय लग सकता है क्योंकि ऊर्जा क्षेत्र में साइबर-आपराधिक डेटा का प्रसार नहीं है जिससे एक्चुरियल टेबल बनाई जा सके। "साइबर अपराध उल्लंघनों से कंपनियों को औसतन $1 - $3 मिलियन का नुकसान होता है, जिससे छोटे व्यवसाय दिवालिया हो सकते हैं, दीवानी मुकदमे भड़क सकते हैं और जुर्माना लगाया जा सकता है।"₁₃

स्वस्थ साइबर सुरक्षा बीमा बाजार की उपस्थिति से साइबर हमलों को संभवतः कम किया जा सकता है।
ऊर्जा हित जो निवारक उपाय और "सर्वोत्तम अभ्यास" स्थापित करते हैं, उन्हें अधिक कवरेज प्रदान किया जा सकता है। वर्तमान में, कई कंपनियाँ उपलब्ध कवरेज को अस्वीकार कर देती हैं क्योंकि उनका मानना है कि लागत निषेधात्मक है, वे इस बारे में अनिश्चित हैं कि क्या कवर किया जाएगा, और वे जोखिम उठाने को तैयार हैं कि वे साइबर हमले का लक्ष्य नहीं बनेंगे। होमलैंड सिक्योरिटी विभाग (DHS) ने हाल ही में सार्वजनिक और निजी क्षेत्र के हितों का एक व्यापक समूह इकट्ठा किया है "साइबर सुरक्षा बीमा बाजार की वर्तमान स्थिति की जांच करने और बेहतर साइबर जोखिम प्रबंधन को प्रोत्साहित करने के लिए अपनी क्षमता को कैसे बेहतर बनाया जाए.”₁₄

साइबर सुरक्षा कार्यान्वयन के मुख्य प्रभावक

चूंकि एनईआरसी सुरक्षा मानकों का विकास और संशोधन जारी है, एफईआरसी और उपयोगिता कंपनियां निरंतर सुधार को बढ़ावा देने के लिए महत्वपूर्ण इनपुट और रचनात्मक टिप्पणियां प्रदान कर रही हैं।  विक्रेता निश्चित रूप से मानकों के विकास को आगे बढ़ा रहे हैं और दिशा-निर्देशों में भी सहायता कर रहे हैं। प्रत्येक गुट का कितना प्रभाव है, यह बहस का विषय है। इस आधार पर काम करते हुए कि हर विचार का स्वागत है और वह मान्य है, जो लोग मानकों के साथ काम करने के इच्छुक हैं, वे अंततः उन्हें अंतिम रूप दिए जाने से पहले प्रभावित कर सकते हैं। एक बार जब वे लागू हो जाते हैं, तो अगले संस्करण के आने का इंतज़ार करने के अलावा और कुछ नहीं किया जा सकता है। कुछ लोगों का मानना है कि जो सबसे अच्छा परिणाम प्राप्त करते हैं, वे सबसे ज़ोर से चिल्लाते हैं। कई प्रतिभाशाली व्यक्ति विभिन्न समितियों में अपनी मूल्यवान राय साझा करते हैं, और उनमें से सबसे प्रभावशाली वास्तव में बदलाव को प्रभावित कर सकते हैं।

DOE और होमलैंड सुरक्षा

उद्योग के अधिकांश जानकार ऊर्जा विभाग (डीओई) और होमलैंड सुरक्षा विभाग को एनईआरसी सीआईपी मानकों और विनियमों के विकास में प्रभाव और निगरानी के प्रमुख प्रदाता के रूप में उद्धृत करते हैं। डीओई विभिन्न प्रयोगशालाओं और उत्कृष्टता केंद्रों की पहचान कर रहा है जिन्होंने पहल की है और साइबर सुरक्षा परिदृश्य के विभिन्न क्षेत्रों में काम करने के लिए गुणवत्ता वाले लोगों को रखने पर ध्यान केंद्रित कर रहे हैं।  एनईआई जैसे अन्य समूह एनईआरसी मानकों के विकास को बहुत प्रभावित कर सकते हैं। "एनईआई लॉबिस्टों ने 2014 में अपने प्रभाव का प्रदर्शन किया, लॉबिंग व्यय में $2 मिलियन से अधिक के साथ अपने एजेंडे पर ध्यान आकर्षित किया।"₁₅ ये एजेंसियाँ और कई अन्य संस्थाएँ देश के ऊर्जा ढांचे को प्रभावित करने वाले दबावपूर्ण मुद्दों को संबोधित करने के लिए बल्क पावर सिस्टम संस्थाओं के साथ बातचीत करती हैं। इस प्रक्रिया में सबसे अधिक सक्रिय कंपनियाँ, विशेष रूप से बड़ी कंपनियाँ, इस प्रक्रिया को अधिक हद तक प्रभावित करती हैं।

हालांकि वे सहायक दिशा-निर्देश प्रदान करते हैं, लेकिन सुझाए गए मानकों का पालन करना कानून नहीं है। उपयोगिताओं और विक्रेताओं ने कुछ व्यावहारिक मानक अभ्यास सुझाए हैं, लेकिन वे अनिवार्य नहीं हैं, इसलिए अलग-अलग कंपनियाँ तय करती हैं कि वे उनका पालन करना चाहती हैं या नहीं। यह महत्वपूर्ण है कि उपयोगिता कंपनियाँ और विक्रेता मानकों और दिशा-निर्देशों को बनाने के लिए सहयोग करने में अधिक सक्रिय हों।  एनईआरसी और एनआईएसटी इसे अपने आप नहीं कर सकते, यद्यपि एनईआरसी प्रभावित कर सकता है और अंततः डिफ़ॉल्ट मानदंड को परिभाषित कर सकता है।

बिजली कंपनियों का प्रभाव

एनईआरसी की ड्राफ्टिंग टीम में उद्योग के कर्मचारी शामिल हैं, इसलिए यह एक सहयोगात्मक प्रयास है। ये वास्तविक लोग हैं जो जमीनी स्तर पर काम करते हैं और मानक ड्राफ्टिंग टीम को इनपुट प्रदान करते हैं। कई लोग बिजली उद्योग के सदस्य हैं जो बहुत विकेंद्रीकृत है। ऊर्जा क्षेत्र की कंपनियों के पास अलग-अलग राज्यों में अलग-अलग दर संरचनाएं हैं जो उनकी लाभप्रदता को प्रभावित करती हैं और वे जो सेवाएं प्रदान करती हैं उनके लिए वे क्या शुल्क ले सकती हैं।

जब बिजली संयंत्रों को अपनी साइबर सुरक्षा बढ़ाने की आवश्यकता होती है, तो इसके लिए महत्वपूर्ण निवेश की आवश्यकता होती है और कोई व्यक्ति इसके लिए भुगतान करने वाला होता है। किसी भी साइबर सुरक्षा चर्चा के हिस्से के रूप में किसी कंपनी की अंतिम पंक्ति पर विचार किया जाना चाहिए क्योंकि यह एक व्यावसायिक वास्तविकता है और इसमें हितधारकों को संतुष्ट किया जाना है। वित्तीय विचार यह तय कर सकते हैं कि सुरक्षा नियंत्रण लागू किए जाएं या नहीं और नए मानकों और विनियमों के अनुकूलन के बारे में किसी भी चर्चा में इस तथ्य पर जोर दिया जाना चाहिए।  राष्ट्र के पास निश्चित रूप से शक्ति होनी चाहिए।  यह सबसे महत्वपूर्ण बुनियादी ढांचा क्षेत्रों में से एक है क्योंकि सूचना प्रौद्योगिकी की तरह,  यह सब कुछ से परे है। 

अनुसंधान संस्थानों का प्रभाव

ईपीआरआई, साइबर सिक्योरिटी सेंटर ऑफ एक्सीलेंस और एनएससीओ जैसे शोध संस्थानों का एनईआरसी सीआईपी सुरक्षा मानकों को विकसित करने में प्रभाव है, क्योंकि उनके पास विशेषज्ञता का उच्च स्तर है। कई अलग-अलग संगठनों के हितधारक मानकों की अगली पीढ़ी बनाने के लिए आम सहमति से चर्चा में आते हैं। बेशक, प्रत्येक संगठन का अपना खुद का एजेंडा होता है जिसे बढ़ावा दिया जाना चाहिए और यह अंततः मानकों के बेहतर या बदतर होने के तरीके को प्रभावित करता है। सार्वजनिक जांच प्रक्रिया और उप-मानक भी नए एनईआरसी सीआईपी संशोधनों की बारीकियों को निर्धारित करने में भूमिका निभाते हैं

एनईआरसी अनुपालन की कठिनाई

एक बार जब NERC CIPs के नियम और मानक संशोधित हो जाते हैं और उन पर सहमति बन जाती है, तो उन्हें ऊर्जा क्षेत्र में लागू किया जाता है। दुर्भाग्य से, अनुपालन दल, कानूनी दल और प्रबंधक इन सिफारिशों और आवश्यकताओं की सटीक व्याख्या करने के तरीके से जूझते हैं। वे अक्सर इस बारे में अनिश्चित होते हैं कि क्या कार्रवाई की जाए। जबकि अधिकांश लोग अनुपालन करने के लिए इच्छुक और तैयार हैं, कुछ को नियामक भाषा के आधिकारिक अर्थ को समझना मुश्किल लगता है। यह अनुपालन कर्मियों के लिए भ्रम पैदा कर सकता है जो NERC मानकों और विनियमों की सनक और अस्पष्ट व्याख्याओं पर भरोसा करने के लिए मजबूर हैं।

The एक है (इंस्ट्रूमेंटेशन, सिस्टम और ऑटोमेशन) एनईआरसी के प्रावधानों को कैसे लागू किया जा सकता है, इस पर दिशा-निर्देशों और निर्देशों के लिए एक विस्तृत संदर्भ प्रदान करता है, ताकि यह सुनिश्चित करने में मदद मिल सके कि हर कोई एक ही दिशा में आगे बढ़ रहा है। आईएसए के 2014 साइबर सुरक्षा सम्मेलन ने "इस बात पर प्रकाश डाला कि औद्योगिक नेटवर्क और नियंत्रण प्रणालियों को साइबर खतरों से गंभीर, संभावित रूप से विनाशकारी क्षति से बचाने के लिए क्या किया जा सकता है।"₁₆

एनईआरसी सीआईपी की अस्पष्ट प्रकृति का मुकाबला करने के लिए, कई कंपनियां सक्रिय रूप से दस्तावेजीकरण कर रही हैं कि वे आवश्यकताओं को कैसे पूरा करना, कम करना या उनका अनुपालन करना चाहते हैं और उम्मीद करते हैं कि लेखा परीक्षक इस मेहनती रिकॉर्ड रखने में योग्यता पाएंगे। चूंकि वर्तमान में बहुत सारी व्याख्याएं चल रही हैं, इसलिए लेखा परीक्षक केवल यह नोट कर सकते हैं कि किसी कंपनी ने एनईआरसी सीआईपी अनुपालन के संबंध में जो कहा था वह किया या नहीं। कुछ बिजली संयंत्र मानकों और विनियमों का अनुपालन करने में भी संघर्ष करते हैं क्योंकि उनके पास इलेक्ट्रॉनिक उत्पादों और उपकरणों (जैसे कि सीमन्स और जीई द्वारा निर्मित) की कमी है जो इस तरह के अनुपालन को संभव बनाते हैं। 

एनआईएसटी और Ir7628 का प्रभाव

राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान (NIST) ने हाल ही में NISTIR 7628 संशोधन 1, स्मार्ट ग्रिड साइबर सुरक्षा के लिए दिशानिर्देश प्रकाशित किए हैं  "एक व्यापक ढांचा प्रदान करने के लिए जिसका उपयोग संगठन स्मार्ट ग्रिड से संबंधित विशेषताओं, जोखिमों और कमजोरियों के अपने विशेष संयोजनों के अनुरूप प्रभावी साइबर सुरक्षा रणनीतियों को विकसित करने के लिए कर सकते हैं।"₁₇ यद्यपि एनआईएसटी दिशानिर्देश एनईआरसी सीआईपी पर नियामक निगरानी नहीं लगाते हैं, फिर भी उनका ऊर्जा क्षेत्र पर प्रभाव पड़ता है।

हालाँकि NERC को शायद ज़्यादा गंभीरता से लिया जाता है, NIST मानकों को नियमित रूप से कई साइबर सुरक्षा प्लेटफ़ॉर्म में एकीकृत किया जाता है, और वे महत्वपूर्ण बुनियादी ढाँचे की सुरक्षा के तरीके को इंगित कर सकते हैं। NIST के महत्व पर राय अलग-अलग हैं। चूँकि NIST दिशानिर्देशों का अनुपालन स्वैच्छिक है, इसलिए कंपनियों के लिए उनका पालन करना अनिवार्य नहीं है। इसके अतिरिक्त, ऊर्जा बाज़ार बेहद खंडित है और कई व्यवसायों के पास साइबर सुरक्षा से संबंधित NIST के सुझाए गए कई कार्यों को लागू करने के लिए पर्याप्त कर्मचारी या आवश्यक धन नहीं है।

पैसा शायद इस बात का सबसे बड़ा कारक है कि कंपनियाँ NIST या NERC का पालन करेंगी या नहीं। ऊर्जा व्यवसायों की सैकड़ों प्राथमिकताओं को ध्यान में रखते हुए, साइबर सुरक्षा कार्यान्वयन का बजटीय प्रभाव अक्सर उन अधिक दबाव वाली तात्कालिक चिंताओं के आगे पीछे चला जाता है। मूलमंत्र, फ्रेमवर्क को एकीकृत करना महंगा है और अक्सर ऐसे खर्चों के लिए बजट मौजूद नहीं होता है। इसके अलावा, कई लोगों को संदेह है कि औद्योगिक नियंत्रण प्रणाली विक्रेता ऐसे काम करने वाले समाधान प्रदान कर सकते हैं जो अन्य विक्रेताओं के उत्पादों के साथ मिलकर काम करते हैं। वे तीसरे पक्ष को शामिल करने से सावधान हैं। सुरक्षा पेशेवरों को पता है कि उन्हें क्या करना है, लेकिन वे नहीं जानते कि बजट कहाँ से लाएँ और वे इस बात को लेकर अनिश्चित हैं कि NERC और NIST द्वारा सुझाए गए अच्छे विचारों को लागू करने के लिए किस तकनीक का उपयोग किया जाए।

क्या सार्वजनिक टिप्पणियों का वास्तव में प्रभाव होता है?

"देश भर के व्यक्तियों और संगठनों ने मानकों, सर्वोत्तम प्रथाओं और दिशानिर्देशों पर अपने विचार प्रदान किए हैं जो महत्वपूर्ण बुनियादी ढांचे की साइबर सुरक्षा में सार्थक सुधार लाएंगे।"₁₈ साइबर सुरक्षा ढांचे की दिशा के बारे में टिप्पणियों का हमेशा स्वागत किया गया है। अंतिम लक्ष्य व्यवसायों, उनके आपूर्तिकर्ताओं, उनके ग्राहकों और सरकारी एजेंसियों को एक सामान्य भाषा और कार्यप्रणाली प्रदान करना है ताकि यह निर्धारित किया जा सके कि वे खुद को सबसे अच्छी तरह से कैसे सुरक्षित रख सकते हैं। चाहे वे Microsoft, FERC, या किसी महान विचार वाले इच्छुक व्यक्तिगत नागरिक से आते हों, उन सभी का समान सम्मान किया जाता है। NIST मुख्य रूप से इस बात में रुचि रखता है कि क्या विचार तकनीकी रूप से सही है, लागत प्रभावी है, और क्या यह लागू करने योग्य है।

कभी-कभी, NIST के पास अनुबंध होते हैं और उसे एयरोस्पेस या इंस्टीट्यूट फॉर डिफेंस एनालिसिस से जुड़े संघ द्वारा वित्तपोषित अनुसंधान और विकास केंद्रों से सहायता मिलती है जो उन्हें पहला मसौदा तैयार करने में मदद करते हैं। एक बार मसौदा तैयार हो जाने के बाद, इसे वेबसाइट पर पोस्ट किया जाता है जहाँ सार्वजनिक और निजी हित इसे देख सकते हैं और टिप्पणी कर सकते हैं। NERC प्राप्त टिप्पणियों का सारांश तैयार करता है और उन्हें प्रकाशित करता है ताकि लोग सुझाए गए मानकों पर प्रतिक्रिया का खुद ही आकलन कर सकें। NIST एक निर्णय प्रक्रिया का उपयोग करता है जिसमें उद्योग विशेषज्ञों की एक टीम व्यक्तिगत टिप्पणियों की समीक्षा करती है और प्रतिक्रिया प्रदान करती है। अंततः, टिप्पणियाँ NIST को प्रत्येक विशेष टिप्पणी के लिए अंतिम निर्णय पर पहुँचने में मदद करती हैं - एक विस्तृत प्रक्रिया। NIST का लक्ष्य उस संवाद को सामान्य बनाना है जो तब होता है जब लोग साइबर सुरक्षा पर चर्चा कर रहे होते हैं। यह विभिन्न क्षेत्रों से विचारों, अवधारणाओं और सिद्धांतों के एकीकरण की अनुमति देता है और फ्रेमवर्क को कैसे लागू किया जाए, इसके बारे में कई अलग-अलग विकल्प प्रस्तुत करता है। 

एनआईएसटी का भविष्य

अगले कुछ वर्षों में फ्रेमवर्क के पाँच संशोधनों का निरंतर कार्यान्वयन देखा जाएगा जिन्हें स्वीकृत किया गया है। संस्करण छह और सात आने वाले हैं और स्पष्टीकरण के लिए भाषा में कुछ बदलाव किए जाएँगे। बेल्टवे में किसी भी दर्दनाक उथल-पुथल को छोड़कर, NERC CIP अपना विकास जारी रखते हैं, NIST मानकों और डेटा को शामिल करते हैं, और कार्यान्वयन दिशानिर्देशों में अतिरिक्त विशिष्टता जोड़ते हैं। NIST मानक बिजली प्रणाली के भीतर बाहरी ताकतों से हमलों और घुसपैठ को रोकने और ऊर्जा ग्रिड पर नियंत्रण बनाए रखने के लिए मौजूद हैं। आपदा पुनर्प्राप्ति की बात आने पर बल्क पावर सिस्टम के सभी पहलुओं पर विचार किया जाता है।

एनईआरसी सीआईपी की तरह, एनआईएसटी दिशा-निर्देशों में भी अस्पष्टता है, जिससे क्रियान्वयन में बहुत अधिक व्याख्या की आवश्यकता होती है। वर्तमान में, एनआईएसटी कंपनियों को बहुत से तृतीय पक्ष दस्तावेजों का संदर्भ देता है, जिससे लोगों को बहुत अधिक जानकारी नहीं मिल पाती। एनआईएसटी दस्तावेज  "आईईसी 62443-2-1:2010(ई) औद्योगिक स्वचालन और नियंत्रण प्रणालियों (आईएसीएस) के लिए साइबर सुरक्षा प्रबंधन प्रणाली (सीएसएमएस) स्थापित करने के लिए आवश्यक तत्वों को परिभाषित करता है और उन तत्वों को विकसित करने के तरीके पर मार्गदर्शन प्रदान करता है।"₁₉

निकट भविष्य में भी उन्नत होती तकनीकें जीवन के सभी पहलुओं को प्रभावित करती रहेंगी, जिसमें कंप्यूटर हार्डवेयर और सॉफ्टवेयर इस विकास के केंद्र में होंगे। जैसे-जैसे चीजें और अधिक जटिल होती जाएंगी, साइबर सुरक्षा उत्पादों और प्रणालियों के निर्माण के बारे में अधिक चिंतन की आवश्यकता होगी। वैज्ञानिकों और तकनीशियनों के लिए एक ऐसे बिंदु पर पहुंचना संभव है जहां वे पूरी तरह से समझ नहीं पाते कि उन्होंने अपने सॉफ़्टवेयर में क्या बनाया है। यह इतना जटिल हो सकता है कि वे समझ नहीं पाते कि इसे कैसे सुरक्षित रखा जाए। कुछ लोगों को लगता है कि उद्योग पहले ही उस बिंदु को पार कर चुका है। आज और कल के साइबर हमलों से ऑपरेटिंग सिस्टम की रक्षा करने के लिए सिस्टमिक और उत्पाद स्तर पर आईटी बुनियादी ढांचे की महत्वपूर्ण पुनर्रचना की आवश्यकता हो सकती है। 

इसके लिए अत्यधिक आश्वस्त घटकों और प्रणालियों का निर्माण करने के लिए तकनीकी सिद्धांतों, अवधारणाओं और कार्यप्रणालियों पर भरोसा करने की आवश्यकता होगी। सबसे बड़ी चुनौती भविष्य के ऑपरेटिंग सिस्टम के आकार को प्रबंधनीय और समझने योग्य बनाए रखना होगा ताकि सर्वोत्तम प्रथाओं को लागू किया जा सके। उम्मीद है कि ऐसी प्रणालियाँ विकसित की जाएँगी जो अधिक पैठ-प्रतिरोधी होंगी। यदि कोई हमला सफल होता है और बाहरी परिधि में प्रवेश करता है, तो ऊर्जा क्षेत्र को ऐसी तकनीक बनाने की दिशा में काम करना चाहिए जो मैलवेयर को पूरे बिजली संयंत्रों या पूरे ग्रिड को गिराने से रोक सके।

वास्तविक समय सुरक्षा का भविष्य

भविष्य में बल्क एनर्जी उद्योग को बड़ी चुनौतियों का सामना करना पड़ेगा। नेटवर्क को फिर से तैयार करना, उन्हें विभाजित करना और सुरक्षा प्रबंधन को लागू करना बहुत महंगा होगा। इस बात का खतरा है कि कंपनियाँ हार्डवेयर, सॉफ़्टवेयर, लाइसेंसिंग और इंस्टॉलेशन की उच्च लागत का आकलन करेंगी, साथ ही बुनियादी ढाँचे के संचालन और रखरखाव का खर्च भी होगा, और वे कम आंकलन करेंगी।  कई मामलों में वे सस्ते रास्ते का चुनाव करेंगे और उनके पास आवर्ती या अनुपालन-आवश्यक रखरखाव को शेड्यूल करने के लिए कोई स्वचालन सॉफ़्टवेयर नहीं होगा। बेशक, कंपनी जितनी बड़ी होगी, उन्हें उतने ही अधिक सुरक्षा उत्पादों को एकीकृत करना होगा और उतनी ही अधिक जटिल प्रक्रियाओं का पालन करना होगा। सुरक्षा प्रणालियों को मैन्युअल रूप से संचालित करने के लिए मनुष्यों से अपेक्षा करना जोखिम भरा हो सकता है, लेकिन लाभ के हित में, कई बिजली संयंत्र अधिक विश्वसनीय स्वचालन प्रणालियों को छोड़ देंगे।

साइबर सुरक्षा उपकरणों का रखरखाव अपेक्षाकृत नया क्षेत्र है। पिछले 50 वर्षों से विद्युत उपयोगिताओं को पता है कि ट्रांसमिशन सिस्टम को कैसे चालू रखा जाए। वे जानते थे कि कैसे डिज़ाइन करना, सुरक्षा करना, बिजली ले जाना, ट्रांसमिशन सिस्टम से जुड़ना और बिजली वितरित करना है। अब, ये कंपनियाँ नई तकनीकों को अपना रही हैं और सीखने की अवस्था नाटकीय है। फ़ाइल, सर्वर और नेटवर्किंग विशेषज्ञों जैसे अधिक विभाजित तकनीशियनों की आवश्यकता है। सभी मौजूदा सुरक्षा उपायों के बावजूद, अभी तक ऐसा बुनियादी ढांचा मौजूद नहीं हो सकता है जो पूरे स्पेक्ट्रम में हमलों का पता लगा सके और उन्हें विफल कर सके। सक्रिय बचाव तैयार करने के लिए अधिक निगरानी क्षमताओं की आवश्यकता है। जैसे-जैसे उपयोगिता कंपनियाँ अधिक क्लाउड सेवाओं का उपयोग करती हैं, उन्हें जोखिमों के बारे में अधिक जागरूक होना होगा क्योंकि स्मार्ट ग्रिड की पैठ बढ़ती रहेगी

सुरक्षा क्षेत्र में यह भविष्यवाणी करना कठिन है कि पांच या दस साल बाद क्या होगा।  निश्चित रूप से, वास्तविक समय पर पता लगाने की अधिक क्षमता का उपयोग किया जाएगा, क्योंकि लोग जानना चाहते हैं कि क्या होने वाला है।  हमले की कई रणनीतियाँ और प्रकार हैं जो हो सकते हैं। फ़ायरवॉल और एंटी-वायरस प्रोग्राम जैसी पुरानी तकनीकें कोड अनुक्रमों की खोज करके मैलवेयर का पता लगाने की कोशिश करती हैं। आज का सबसे नया सॉफ़्टवेयर विध्वंसक "किल चेन" गतिविधि का पता लगाने के लिए कोड की जाँच करता है, लेकिन इस जानकारी को लेने और दो और दो को एक साथ जोड़ने के लिए अभी भी मनुष्यों की आवश्यकता है। दुर्भाग्य से, इसमें समय लगता है। आधुनिक साइबर सुरक्षा उत्पाद पूरी तरह से पता लगाने में असमर्थ हैं जंजीर वे मैलवेयर का पता लगा सकते हैं, लेकिन उल्लंघन कुछ ही क्षणों में होता है और अक्सर किसी भी सार्थक जवाबी हमले के उपाय को लागू करने में बहुत देर हो चुकी होती है।

कल की सफल रियल-टाइम रक्षा प्रणालियाँ आने वाले डेटा का विश्लेषण करने और दुर्भावनापूर्ण शोषण का पता लगाने और उन्हें अलग करने में सक्षम होंगी, इससे पहले कि वे किल चेन के साथ आगे बढ़ें। इस बिंदु पर, स्वचालित सिस्टम या मनुष्य हस्तक्षेप कर सकते हैं और सुरक्षात्मक कार्रवाई कर सकते हैं।

पहचान और पहुँच प्रबंधन

पहचान का प्रमाणीकरण अभी भी ऊर्जा क्षेत्र में प्रभावी सुरक्षा उपायों को बनाए रखने का एक महत्वपूर्ण पहलू है। "सूचना और सूचना प्रौद्योगिकी को सुरक्षित रखने की चुनौती में, और साइबर खतरों को रोकने की चुनौती में, अक्सर मजबूत पहचान की कमी समग्र रक्षा तंत्र में सबसे कमजोर बिंदुओं में से एक बन गई है।  अक्सर, मौजूदा क्रेडेंशियल्स का दुरुपयोग किया जा सकता है, उन्हें खराब तरीके से लागू या प्रबंधित किया जा सकता है, और इससे बड़ी कमज़ोरियाँ या घटनाएँ हो सकती हैं.”₂₀

संगठन साझा लॉग-ऑन के उच्च-विश्वास मॉडल से दूर जा रहे हैं, इसलिए नहीं कि उन्हें अपने कर्मचारियों पर भरोसा नहीं है, बल्कि आकस्मिक या दुर्भावनापूर्ण घटनाओं के प्रभाव को स्थानीयकृत करने के हित में। लंबे समय में वे तकनीकी बाधाओं को दूर करने की कोशिश करते रहेंगे। उपयोगिताएँ मानक आईटी उपकरणों का उपयोग करना जारी रखेंगी जैसे कि सिस्को और जुनिपर, लेकिन उनके संचालन के अन्य पहलुओं (रिले, आरटीयू, पीएलसी,) में समान सुरक्षात्मक प्रणाली नहीं है। जब तक वे इसे विक्रेताओं से नहीं खरीद सकते, उन्हें स्थानीय फ़ायरवॉल के साथ खतरों को कम करना पड़ सकता है। नेटवर्क समय, नियंत्रण केंद्र का स्थान, आईपी पता, यहां तक कि उनके बुनियादी ढांचे को चलाने के लिए चुने गए विक्रेता जैसी प्रतीत होने वाली हानिरहित जानकारी भी साइबर हमला करने के इरादे से गलत इरादे रखने वालों के लिए महत्वपूर्ण हो सकती है।

दुर्घटना की रोकथाम और शमन आकस्मिकताएँ 

आज के आईटी सुरक्षा उपकरण लॉग-इन के "सामान्य" व्यवहार की निगरानी करने के लिए कॉन्फ़िगर किए गए हैं, लेकिन उन्नत हमलों का सामना करने पर वे कमज़ोर हो जाते हैं। विरोधी सिर्फ़ नियंत्रण प्रणाली में घुसपैठ नहीं करना चाहते, वे ऐसी स्थिति में नुकसान पहुँचाना चाहते हैं जहाँ ऑपरेटर हस्तक्षेप न करे और सुरक्षा प्रणाली पर्याप्त रूप से काम न कर रही हो। ऑपरेटर वास्तव में यह नहीं बता सकते कि जो डेटा वे देख रहे हैं वह सटीक है या उसमें हेराफेरी की गई है क्योंकि यह सत्यापित करने के लिए कोई तकनीक उपलब्ध नहीं है कि जानकारी सटीक है या नहीं। सैन ब्रूनो पाइपलाइन की घटना पुरानी सुरक्षा प्रणालियों और खराब डेटा के खतरों को सामने लाती है।

"पैसिफ़िक गैस एंड इलेक्ट्रिक कंपनी ... ने अपनी प्राकृतिक गैस ट्रांसमिशन लाइनों की विशेषताओं पर नज़र रखने के लिए एक कंप्यूटर सिस्टम के साथ लगभग दो दशकों तक संघर्ष किया, एक संघर्ष जिसके परिणामस्वरूप कंपनी को अपनी पाइपों की संभावित कमज़ोरियों को समझने के लिए महत्वपूर्ण जानकारी की कमी हुई। ... सिस्टम विकसित करते समय की गई चूक या डेटा-एंट्री त्रुटियाँ - और बिना सुधारे छोड़ दी गईं - यह बता सकती हैं कि PG&E को इस बात की जानकारी क्यों नहीं थी कि 1956 की पुरानी पाइपलाइन, जिसमें 9 सितंबर को सैन ब्रूनो में विस्फोट हुआ था, जिसमें आठ लोग मारे गए थे, एक सीम के साथ बनाई गई थी, रिकॉर्ड और साक्षात्कारों के अनुसार। ... विशेषज्ञों का कहना है कि पाइप में सीम वेल्ड होना एक बुनियादी जानकारी है जो किसी भी अच्छे पाइपलाइन डेटाबेस पर माउस के क्लिक पर उपलब्ध होनी चाहिए।"₂₁

बिजली सुविधाओं की कमज़ोरी के बावजूद, सुरक्षा कर्मियों को आकस्मिक योजना के महत्व की समझ है। विद्युत ग्रिड कुल मिलाकर अत्यधिक विश्वसनीय है, लेकिन जब कोई घटना होती है तो मैलवेयर के पैर जमाने और महत्वपूर्ण ऑपरेटिंग सिस्टम को नुकसान पहुँचाने से पहले प्रतिक्रिया योजनाएँ प्रभावी होनी चाहिए। यह ज़रूरी है कि लोगों को पता हो कि किसी दिए गए हालात में कैसे प्रतिक्रिया करनी है। बिजली संयंत्रों के लिए आकस्मिक योजनाओं में वैकल्पिक प्रसंस्करण स्थल, वैकल्पिक संचार क्षमताएँ और वैकल्पिक भंडारण सुविधाएँ शामिल हो सकती हैं। ये तीन स्तर हैं जिन पर आम तौर पर ध्यान केंद्रित किया जाता है।  अंतिम लक्ष्य किसी हमले से निपटना और कमज़ोर या ख़राब स्थिति में भी काम करना जारी रखना है। प्राकृतिक आपदाओं, संरचनात्मक विफलताओं, साइबर हमलों और चूक या कमीशन की त्रुटियों सहित चार प्रमुख प्रकार के खतरों के लिए आकस्मिक योजनाएँ मौजूद हैं।

ब्लैक होल और अज्ञात खतरे

ऊर्जा अवसंरचना के लिए ज्ञात खतरों से निपटने के लिए साइबर सुरक्षा उपायों को लगातार लागू किया जा रहा है, लेकिन भविष्य में अज्ञात खतरे और "ब्लैक होल" होने की संभावना है, जिसके लिए अभिनव रक्षा और प्रतिक्रिया क्षमताओं की आवश्यकता होगी। सौभाग्य से, ES-ISAC और सहयोगी संचार के सभी नेटवर्क अब ग्रिड को सुरक्षित और प्रभावी ढंग से बनाए रखने के दृष्टिकोण को बेहतर बनाते हैं। खतरों की 24-7 निगरानी की जाती है और ES-ISAC को लगातार अपडेट किया जाता है।

कई अंतरराष्ट्रीय नियंत्रण प्रणालियाँ, घरेलू स्तर पर स्थापित की गई प्रणालियों से अलग होते हुए भी, वैश्विक साइबर सुरक्षा नेटवर्क से जुड़ी हुई हैं। बेशक, एयर गैप, आदिम सुरक्षा और यूनिकॉर्न के बारे में अभी भी बहुत चिंता है। ऊर्जा क्षेत्र उन दूरदर्शी कंपनियों पर निर्भर है जो मौजूदा सुरक्षा मुद्दों से निपटने के लिए प्रगतिशील समाधान लेकर आ रही हैं। साइबर अपराधियों के पास प्रभावशाली हमला कौशल होते हैं और उनके पास उपलब्ध हैकिंग टूल नए हमले के उपक्रमों को ढूंढना आसान बनाते हैं, खासकर जब औद्योगिक नियंत्रण प्रणालियों में पुराने उपकरणों की बात आती है।

अज्ञात खतरे ऐसी किसी भी चीज़ से बनते हैं जो सुरक्षा प्रणाली की परिधि में प्रवेश कर सकती है। नई प्रणालियाँ इतनी जटिल होती हैं कि वे ऐसे तरीकों से जुड़ी होती हैं जिन्हें उनके निर्माता समझ भी नहीं पाते। अंतिम उपयोगकर्ता शायद इस बात से अवगत न हों कि उनके द्वारा संचालित नियंत्रण प्रणालियों के इंटरफ़ेस इंटरनेट पर सार्वजनिक रूप से उपलब्ध हैं। साइबर अपराधी किसी विशेष भौगोलिक साइट या किसी विशिष्ट विक्रेता की खोज कर सकते हैं और उस नियंत्रण प्रणाली के उपयोगकर्ता इंटरफ़ेस (HMI) का उल्लंघन कर सकते हैं। यदि अंतिम उपयोगकर्ताओं ने विक्रेता से मानक पासवर्ड और उपयोगकर्ता नाम नहीं बदला है, तो साइबर हमलावर वास्तव में ऑपरेशन शुरू कर सकते हैं।

शून्य दिन

जीरो डेज़ के संबंध में काफी शोध किया गया है, जो अज्ञात भेद्यता को दर्शाता है। " ...  एक "शून्य-दिन शोषण", ...  एक वायरस या कीड़ा है जो सॉफ़्टवेयर में किसी ऐसी कमज़ोरी का फ़ायदा उठा सकता है जिसे सॉफ़्टवेयर के निर्माता सहित अन्य लोगों ने अभी तक नहीं खोजा है। ज़ीरो-डे एक्सप्लॉइट दुर्लभ हैं क्योंकि सॉफ़्टवेयर निर्माता यह सुनिश्चित करने के लिए कड़ी मेहनत करते हैं कि वे ऐसे प्रोग्राम जारी करें जिनमें ऐसी कमज़ोरियाँ न हों।  … जब किसी को मैलवेयर में पाया जाता है, तो यह एक उच्च उद्देश्य का संकेत देता है, जो साइबर अपराधियों द्वारा क्रेडिट कार्ड नंबरों को प्राप्त करने की उम्मीद से परे है।”₂₂

एक अन्य प्रकार का गंभीर खतरा "अंदरूनी काम" है, जो किसी संगठन या प्रणाली जैसे कि बिजली संयंत्र या संघीय एजेंसी के भीतर बनाया जाता है।  साइबर हमले के बाद, अपराधी वास्तव में सिस्टम पर नियंत्रण कर सकते हैं और इसे नई कमजोरियों के साथ बना सकते हैं, जिसका वे बाद में वापस आकर फायदा उठा सकते हैं। ऊर्जा क्षेत्र पहले से कहीं ज़्यादा बुनियादी तकनीक पर निर्भर है, और यह असुरक्षित है। 

क्या निगरानी कैमरे और लॉग-इन डेटा पर्याप्त हैं?

मानक निगरानी कैमरों के साथ साइबर अपराध का पता लगाना और उसे रोकना महत्वपूर्ण बुनियादी ढांचे की सुरक्षा का सबसे प्रभावी तरीका नहीं है। कैमरे उतने ही अच्छे होते हैं जितने अच्छे लोग उन पर नज़र रखते हैं और लोग आसानी से विचलित हो जाते हैं। कैमरों को एनालिटिक्स के साथ जोड़ा जाना चाहिए जो अलर्ट और अलार्म देता है। इस प्रकार की तकनीक मौजूद है और यह मौजूदा सुरक्षा प्रणालियों को बहुत बेहतर बना सकती है। सॉफ़्टवेयर हर समय अधिक संज्ञानात्मक होता जा रहा है। नई तकनीकों के साथ जनशक्ति को कम किया जा सकता है, लेकिन तकनीकी क्षमताओं वाले लोगों को सुरक्षित रखना और उन्हें बनाए रखने के लिए उन्हें पर्याप्त भुगतान करना मुश्किल है। इस प्रकार, ऊर्जा क्षेत्र के भीतर एक बड़ी टर्नओवर दर है। 

नए साइबर सुरक्षा विभागों को बनाए रखना महंगा है और सी-सूट और कंपनी के शेयरधारकों को यह समझाना मुश्किल हो सकता है कि ये विभाग लंबे समय में लागत प्रभावी हो सकते हैं। इस तथ्य को ध्यान में लाने के लिए कभी-कभी एक महंगी घटना की आवश्यकता होती है।

स्वचालित प्लेटफार्म?   अर्द्ध स्वचालित?

आईटी प्लेटफ़ॉर्म सिस्टम की बढ़ती स्वचालित प्रकृति के बावजूद, अधिकांश अंदरूनी लोगों का मानना है कि भविष्य में भी मानवीय इंटरफ़ेस की आवश्यकता बनी रहेगी। ऐसा कहा जा रहा है कि जब किसी बड़ी उपयोगिता पर सैकड़ों संपत्तियां निगरानी कर रही हों, तो दो या तीन सुरक्षा ऑपरेटरों के लिए उस स्थान पर दृश्य सुरक्षा बनाए रखना संभव नहीं है। दृश्य विश्लेषण और स्वचालित चेतावनी प्रणाली का अधिक से अधिक उपयोग किया जाना जारी रहेगा क्योंकि व्यक्तियों के लिए डेटा स्ट्रीम की लगातार शारीरिक निगरानी करना संभव नहीं है ताकि यह देखा जा सके कि कोई विचलन हो रहा है या नहीं। भविष्य में घटनाओं का पता लगाने के लिए अधिक वास्तविक समय विश्लेषण का उपयोग किया जाएगा जैसा कि वे घटित हो रहे हैं, या उन्हें पहले से ही पता लगाने के लिए। फिर से, डेटा का विश्लेषण करने और किसी भी घुसपैठ और खतरे के स्रोत को पहचानने या कई अलार्म, मौसम या यहां तक कि जंगली खेल के मुद्दों से निपटने के लिए सबसे अधिक संभावना एक मानव इंटरफ़ेस शामिल होगी।

साइबर हमलों के बारे में किसे जानना चाहिए?

आखिरकार, सुरक्षा टीमों के बेहतरीन प्रयासों के बावजूद भी घटनाएँ घटित होती हैं। इस बात पर कुछ बहस है कि ऊर्जा क्षेत्र में साइबर अपराधों से संबंधित जानकारी को सार्वजनिक रूप से साझा किया जाना चाहिए या नहीं। उद्योग में कई लोगों की मानसिकता है कि ऐसी खुफिया जानकारी को उन लोगों तक पहुँचाना उचित नहीं है जिन्हें इसकी जानकारी की आवश्यकता नहीं है। अधिकांश लोग यह पसंद करेंगे कि जानकारी को उपयोगिताओं के बीच निजी तौर पर साझा किया जाए ताकि अगर कोई हमला समन्वित हो, तो उसका सामूहिक रूप से बचाव किया जा सके। बिजली कंपनियाँ विभिन्न समूहों में होने वाले खतरों या सुरक्षा घटनाओं से संबंधित जानकारी साझा करने का एक स्वीकार्य काम करती हैं। संयुक्त राज्य अमेरिका में आठ क्षेत्र हैं जिनमें से प्रत्येक में विनियामक निरीक्षण और बोर्ड समूह हैं जो ES-ISAC से अलग होते हैं।

उपयोगिता उद्योग के लिए जानकारी साझा करना समझ में आता है, लेकिन इस समय उस प्रक्रिया को सुविधाजनक बनाने के लिए बहुत से साधन स्थापित नहीं किए गए हैं। ज़्यादातर मामलों में, अंतिम उपयोगकर्ता साइबर अपराध से संबंधित जानकारी तब प्रकट करते हैं जब उनके पास कोई विकल्प नहीं होता, क्योंकि ऐसी घटना के इर्द-गिर्द नकारात्मक प्रचार हो सकता है। कुछ सुरक्षा विक्रेताओं के बीच एक संघ है जिसे सूचना साझा करने के उद्देश्य से बनाया गया है। इसके अलावा, सिमेंटेक और कुछ अन्य बड़े खिलाड़ी कथित तौर पर एक-दूसरे को खुफिया जानकारी वितरित कर रहे हैं। कुछ ने इस सूचना साझाकरण मॉडल के ICS संस्करण के निर्माण का आह्वान किया है, लेकिन इस लक्ष्य को प्राप्त होने में अभी भी कुछ साल लग सकते हैं। "नियंत्रण प्रणालियों के लिए खतरे कई स्रोतों से आ सकते हैं, जिनमें शत्रुतापूर्ण सरकारें, आतंकवादी समूह, असंतुष्ट कर्मचारी और दुर्भावनापूर्ण घुसपैठिए शामिल हैं। इन खतरों से बचाने के लिए, औद्योगिक नियंत्रण प्रणाली (ICS) के चारों ओर एक सुरक्षित साइबर-बाधा बनाना आवश्यक है।"₂₃

कुछ लोग साइबर सुरक्षा समस्या के प्रति समग्र दृष्टिकोण अपनाना पसंद करते हैं।  इसके लिए ऐसे उत्पाद और सिस्टम बनाने होंगे जो यथासंभव सुरक्षित हों और फिर उनकी निरंतर निगरानी की जाए। भले ही सब कुछ सर्वोत्तम संभव विनिर्देशों के अनुसार बनाया गया हो, फिर भी कुछ हद तक हमले अपरिहार्य रूप से होने वाले हैं। साइबर हमलों के विभिन्न प्रकारों को समझना और इन घटनाओं के बारे में प्रासंगिक जानकारी साझा करना बहुत मूल्यवान हो सकता है, लेकिन फिर भी, अधिकांश कंपनियाँ इसे साझा करने में संकोच करेंगी क्योंकि ऐसा करने से उनकी प्रतिष्ठा पर हानिकारक प्रभाव पड़ सकता है। अंततः, यह एक टीम खेल है। यदि किसी पावर प्लांट में कोई विशिष्ट भेद्यता है और एक साझा विक्रेता द्वारा विकसित समान वाणिज्यिक घटकों का उपयोग पूरे उद्योग में किया जा रहा है, तो जल्दी से वितरित की गई जानकारी अन्य कंपनियों को उन कमजोरियों को जल्दी से दूर करने में मदद कर सकती है, इससे पहले कि वे अगला शिकार बन जाएं। 

ऊर्जा क्षेत्र में अधिकांश लोगों को लगता है कि साइबर हमले की घटनाओं के बारे में जनता को जानने की सीमित प्राथमिकता है। चयनित एजेंसियों, तकनीकी समुदाय और विक्रेताओं के लिए महत्वपूर्ण जानकारी प्राप्त करना अधिक महत्वपूर्ण माना जाता है ताकि भविष्य की घटनाओं को रोका जा सके। अन्यथा, साइबर-अपराध के किसी भी पैटर्न का विश्लेषण करना या विक्रेताओं को उन उत्पादों के बारे में सूचित करना मुश्किल होगा जो समझौता किए गए हो सकते हैं।

संभावित हमले

ऊर्जा क्षेत्र की कंपनियों के लिए साइबर सुरक्षा के बारे में जानकारी का एक क्लियरिंगहाउस स्थापित करने के बारे में बहुत चर्चा हुई है। होमलैंड सुरक्षा सूचना नेटवर्क विभाग, वास्तव में, बस यही बनने की कोशिश कर रहा है। बिजली कंपनियों को संभावित फ़िशिंग या मैलवेयर हमलों के बारे में पता होना चाहिए ताकि वे अपनी जागरूकता बढ़ा सकें और इन संभावित खतरों को कम करने के लिए काम कर सकें।

अन्य देशों के साथ सूचना साझा करना

कभी-कभी साइबर सुरक्षा रक्षा उपायों के कार्यान्वयन में, अन्य देशों के साथ जानकारी साझा करना आवश्यक हो सकता है, जैसा कि यूरोप और उत्तरी अमेरिका के मामले में है, जहाँ ग्रिड की स्थिरता हमारी राजनीतिक सीमाओं को पार करती है। यदि अलग-अलग राष्ट्र खराब व्यवहार और असुरक्षित साइबर स्थितियों पर नज़र रख रहे हैं, तो उनके लिए पड़ोसी देशों के साथ किस्से-कहानियों से ज़्यादा कुछ साझा करना फ़ायदेमंद होगा। आज यही स्थिति है।  साइबर सुरक्षा के बारे में देशों के बीच सूचनाओं के आदान-प्रदान में कमी है। बीमा कंपनियाँ और सुरक्षा उद्योग बहुत सारे सांख्यिकीय डेटा एकत्र करने का प्रयास कर रहे हैं, लेकिन ऊर्जा क्षेत्र में कई कंपनियाँ अभी भी उसी तरह काम कर रही हैं, जिसे कहा जाता है, the कहानियों का युग.

क्या विदेशी विक्रेताओं के लिए जगह है?

ऊर्जा क्षेत्र में उपयोगिताओं के बीच सूचना साझा करने के विचार से कुछ चिंताएँ पैदा हुई हैं, और राष्ट्रों के बीच साझा खतरे की चेतावनियों के बारे में चिंताएँ हैं। क्या साइबर हमलों को रोकने के लिए डिज़ाइन किए गए सुरक्षा सिस्टम के विकास में विदेशी विक्रेताओं को सौंपना सुरक्षित है? क्या इन विदेशी फर्मों को कभी-कभी जिस प्रतिरोध का सामना करना पड़ता है, उसमें ज़ेनोफ़ोबिया और बेबुनियाद भय के तत्व पाए जाते हैं, या कुछ विवेक की आवश्यकता है? 

इनमें से बहुत सी आशंकाओं को आवश्यकता के कारण दूर कर दिया गया है क्योंकि साइबर सुरक्षा खतरे सार्वभौमिक रूप से, पूरी दुनिया में अनुभव किए जाते हैं। अंततः, वैश्विक सूचना साझा करना आवश्यक है। फिर भी, कुछ लोगों को लगता है कि यह बहुत ही असंभव है कि विदेशी विक्रेता अमेरिकी बाजार में घुसपैठ कर पाएंगे। उद्योग स्थापित है और व्यावसायिक संबंध लंबे समय से चले आ रहे हैं। ऊर्जा ग्रिड आराम और विश्वास के स्तर पर काम करता है। उत्तरी अमेरिकी ऊर्जा बाजार में खुद को स्थापित करने और वहां अनुकूलता प्राप्त करने के लिए अद्वितीय तकनीकों और क्षमताओं वाले विदेशी देश से तीसरे पक्ष की आवश्यकता होगी।

इजराइल ने साइबर सुरक्षा में एक मजबूत जगह और बाजार स्थिति बनाई है। देश ने नए स्टार्टअप शुरू करने और प्रतिभाशाली साइबर सुरक्षा पेशेवरों को तैयार करने में भारी निवेश किया है। देश हर साल एक प्रमुख वैश्विक साइबर सुरक्षा सम्मेलन आयोजित करता है, और "दोस्ताना हैकर्स" का एक समुदाय बनाया है जो बग की पहचान करते हैं और उन्हें "बग बाउंटी" द्वारा मुआवजा दिया जाता है।

आईसीएस सुरक्षा बाजार में एनईआरसी

चूंकि महत्वपूर्ण औद्योगिक बुनियादी ढांचे को लगातार खतरा बना हुआ है फ्लेम, स्टक्सनेट, नाइट ड्रैगन, और डुकू हमलों के बावजूद, आईसीएस सुरक्षा बाजार का विस्तार जारी रहेगा। टेकनेवियो के विश्लेषकों का अनुमान है कि वैश्विक औद्योगिक नियंत्रण प्रणाली बाजार 2013-2018 की अवधि के दौरान 8.15 प्रतिशत की सीएजीआर से बढ़ेगा।₂₄ NERC का उद्योग जगत में 50,000 से ज़्यादा सबस्टेशन और कई सौ यूटिलिटी कंपनियों के साथ एक बड़ा दबदबा है। पश्चिमी अमेरिका में, NERC के पास लगभग 500 पंजीकृत यूटिलिटी हैं जो NERC मानकों का पालन करती हैं।

आईसीएस साइबर सुरक्षा बाजार का मूल्य सालाना $3 और $4billion के बीच होने का अनुमान है। परामर्श कंपनियाँ और उद्यम सुरक्षा विक्रेता इस क्षेत्र में प्रमुख खिलाड़ी हैं। NERC के पास विनियमन की शक्ति है और यह बिजली उपयोगिताओं, तेल और गैस क्षेत्रों पर भारी प्रभाव डालता है, लेकिन यह सुरक्षा समाधान बाजार में एनईआरसी के अनुपात या बाजार आकार का अनुमान लगाना कठिन है, क्योंकि उचित विभाजन करने का कोई तरीका नहीं है। एनईआरसी सीआईपी मूल्यांकन के कुछ स्तर को प्राप्त करने के लिए उपयोग किए जाने वाले कई उत्पादों का उपयोग विनिर्माण जैसे अन्य उद्योगों में दृश्यता प्रदान करने और सुरक्षा प्रबंधन क्षमताएं प्रदान करने के लिए भी किया जा सकता है।

साइबर सुरक्षा खतरे से निपटने की चुनौतियाँ

ऊर्जा क्षेत्र में उपयोगिताओं के लिए लगातार उन्नत होती प्रौद्योगिकियों के साथ तालमेल बनाए रखना एक बड़ी परिचालन चुनौती है। जब साइबर-रक्षा प्रौद्योगिकी में लगातार नई प्रगति हो रही हो, तो भविष्य के खतरों से निपटने के लिए "सर्वश्रेष्ठ" सुरक्षा उपायों को लागू करना मुश्किल हो सकता है। इसके अतिरिक्त, सिस्टम एक-दूसरे से अधिक से अधिक जुड़ते जा रहे हैं, इसलिए इन नेटवर्कों के समझौता किए जाने या उन पर हमला किए जाने की संभावना तेजी से बढ़ रही है। "2010 के स्टक्सनेट कंप्यूटर वायरस के बाद बुनियादी ढांचे पर साइबर हमले उपयोगिताओं के लिए एक बड़ी चिंता बन गए हैं, जिसके बारे में विशेषज्ञों का मानना है कि इसका इस्तेमाल इज़राइल और संयुक्त राज्य अमेरिका ने ईरान के कुछ परमाणु सेंट्रीफ्यूज को नष्ट करने के लिए किया था। हैवेक्स ट्रोजन नामक एक कंप्यूटर वायरस के सामने आने से यह खतरा और भी बढ़ गया है, जिसका इस्तेमाल हैकर्स ने तेल और गैस फर्मों पर हमला करने के लिए किया है।"₂₅

यह जरूरी है कि आज बुनियादी ढांचे में इस्तेमाल की जाने वाली तकनीक को अपग्रेड किया जा सके और उसे विकसित हो रही प्रणालियों की अगली पीढ़ी के साथ एकीकृत किया जा सके। कुछ कंपनियां सबसे प्रभावशाली उत्पाद बनाती हैं, लेकिन वे किसी और चीज के साथ संगत नहीं होते हैं। समानांतर रूप से, iPhones पर विचार करें। कितने iPhones हैं और कितने चार्जर हैं? साइबर सुरक्षा के साथ भी यही स्थिति है। नवीनतम उत्पादों को सुरक्षित करने के लिए अरबों डॉलर खर्च किए जाते हैं, लेकिन अक्सर चीजों को फिर से कॉन्फ़िगर करना पड़ता है क्योंकि उत्पाद संगत नहीं होते हैं। इस बीच, साइबर हमलावर खेल से एक कदम आगे रहने में माहिर हैं, इसलिए सुरक्षा टीमों को साइबर सुरक्षा में तकनीकी दौड़ में शीर्ष पर बने रहने के लिए अपना सर्वश्रेष्ठ प्रयास करना चाहिए। यह कोई छोटा काम नहीं है। अधिकांश उपयोगिताएँ पर्याप्त रूप से अपग्रेड करने के लिए निवेश को प्राथमिकता दे रही हैं। दुर्भाग्य से, छोटी सहकारी समितियों के पास अक्सर ऐसा करने के लिए वित्तीय पूंजी नहीं होती है।

परिचालन सुरक्षा में जनशक्ति संरचना

बिजली कंपनियों के लिए जनशक्ति की तैनाती और संचालन सुरक्षा के लिए उनके आंतरिक फ्लोर चार्ट के संदर्भ में, आमतौर पर एक मुख्य सूचना सुरक्षा अधिकारी (CISO) और एक मुख्य सूचना अधिकारी (CIO) होता है। "आईसीटी ढांचे के उपयोग के माध्यम से लाभ बढ़ाने के तरीके की गणना करने में सीआईओ तेजी से महत्वपूर्ण होते जा रहे हैं, साथ ही संभावित आपदाओं के लिए नियंत्रण और योजना बनाकर व्यय को कम करने और नुकसान को सीमित करने में महत्वपूर्ण भूमिका निभाते हैं।"₂₆

ऊर्जा क्षेत्र में बड़ी निवेश उपयोगिताओं में एक सीआईओ होता है, जो आईटी के वरिष्ठ निदेशक स्तर से अलग होने के कई चरणों के साथ होता है। छोटी कंपनियों में एक ही आकार की स्थिति होती है; एक व्यक्ति या लोगों का एक छोटा समूह जो साइबर सुरक्षा क्षेत्र में बहुआयामी कौशल सेट रखता है। कभी-कभी यह एक इलेक्ट्रिकल इंजीनियर या एक विशेष रखरखाव टीम होती है। कुछ संगठन एक औद्योगिक आईटी या ऑपरेशनल ओटी तकनीकी समूह को काम पर रखते हैं या विकसित करते हैं जिसमें समस्याओं से निपटने के लिए एक बहु-सदस्यीय टीम इकट्ठी होती है। 80 के दशक में, कंपनियों के पास आईटी विभाग नहीं थे, लेकिन आज यह एक आम बात है। उपयोगिताएँ ऐसे समूह बना रही हैं जो नियंत्रण समूहों और आईटी संगठनों के बीच कहीं काम करते हैं, इस उम्मीद के साथ कि वे दोनों की ताकत और मुद्दों को समझ सकते हैं।

सुरक्षा समाधान विक्रेता और “बाहरी सोच”

बिजली कंपनियां "बाहरी सोच" के लिए सुरक्षा समाधान विक्रेताओं पर बहुत अधिक निर्भर करती हैं। ये विक्रेता जीवनचक्र प्रबंधन सेवाएं प्रदान करते हैं और वे उन लोगों से अच्छी तरह से जुड़ते हैं जो संगतता मुद्दों को समझते हैं और सुरक्षा उत्पादों को कैसे तैनात किया जाता है। चूँकि उपयोगिताएँ प्रौद्योगिकी कंपनियाँ नहीं हैं, इसलिए वे आवश्यक तकनीकी विशेषज्ञता प्रदान करने के लिए सुरक्षा विक्रेताओं पर निर्भर हैं। ऐसा कहा जा रहा है कि, ऊर्जा क्षेत्र की कंपनियाँ उन विक्रेताओं के साथ बनी रहती हैं जिनके साथ उन्होंने अतीत में काम किया है और जिन पर उन्हें भरोसा है।  यह वफ़ादारी किसी व्यक्ति विशेष के साथ लंबे समय से चले आ रहे रिश्ते पर आधारित हो सकती है। उपयोगिता कंपनियों में ऐसी प्रवृत्ति होती है कि वे ऐसे उत्पादों का इस्तेमाल करना जारी रखती हैं जिनसे उनके कर्मचारी परिचित होते हैं, क्योंकि नई तकनीकों के इस्तेमाल के लिए प्रशिक्षण महंगा होता है।

सबसे प्रभावशाली विक्रेता

जबकि उद्योग के भीतर अधिकांश लोग विशेष रूप से प्रभावशाली विक्रेताओं की पहचान करने के मामले में नाम बताने से कतराते हैं, कई उपयोगिताएँ EPC (इंजीनियरिंग, खरीद, निर्माण) या फ़्लूर जैसी इंजीनियरिंग फ़र्म की तलाश करती हैं। ऐसे विक्रेता कंक्रीट, धातु के काम और बिजली के ढाँचे के मामले में प्लांट को डिज़ाइन करने के लिए ज़िम्मेदार होंगे। नियंत्रण प्रणाली को अक्सर बाहरी विक्रेताओं को बोली लगाने के लिए पेश किया जाता है। एक उपयोगिता ऐसी विशिष्टताएँ तैयार करेगी जो कार्यक्षमता और उन उपकरणों के प्रकारों से संबंधित हैं जिन्हें वे प्लग इन करते हैं। विक्रेता फिर परियोजना पर बोली लगाएँगे, और सर्वोत्तम मूल्य पर विशिष्टताओं को वितरित करने के लिए अन्य सुरक्षा समाधान विक्रेताओं के साथ प्रतिस्पर्धा करेंगे। ऊर्जा क्षेत्र की कंपनियों को अनुपालन मुद्दों से निपटना पड़ता है, इसलिए वे अपने विनिर्देशों में साइबर सुरक्षा को शामिल करने के लिए अपने खरीद दिशा-निर्देशों और अनुबंधों को समायोजित कर रही हैं।

भविष्य के सुरक्षा समाधान और उत्पाद

भविष्य में साइबर हमलों के खिलाफ ऊर्जा बुनियादी ढांचे की रक्षा करने की चुनौती का सामना करने के लिए डिज़ाइन किए गए कई नए सुरक्षा समाधानों और उत्पादों का निरंतर तेज़ विकास देखने को मिलेगा। बिजली उद्योग में कई लोगों की इच्छा-सूची में सुरक्षा समाधानों के लिए एक एकीकृत प्लेटफ़ॉर्म है जो कंपनी की नीति प्रक्रियाओं को एकीकृत करता है। कई प्लेटफ़ॉर्म पहले से ही चालू हैं और उन्हें परिष्कृत और बेहतर बनाया जाना जारी है।

पुराने या विरासती कोड बेस वाले संस्थानों और संगठनों के लिए नियंत्रण प्रणाली उन्नयन की आवश्यकता है। खासकर अगर किसी बिजली संयंत्र की नियंत्रण प्रणाली दस साल या उससे अधिक समय से चालू है। इनमें से कुछ प्रणालियों के कोड बेस 20 साल पुराने हो सकते हैं। ये संगठन कोड की हर पंक्ति को पीछे ले जाने और फिर से लिखने की संभावना नहीं रखते हैं। इसके बजाय वे यह दिखाने में सक्षम होने की उम्मीद में सुरक्षित नई प्रथाएँ विकसित करेंगे कि उनका पूरा कोड बेस सुरक्षित है। बेशक, नए प्रमाणन मानक अनिवार्य रूप से आएंगे जिनका अनुपालन करना होगा, जो ग्रिड की सुरक्षा में सुधार की दिशा में चल रहे विकास को गति देगा।

सुरक्षा समाधान विक्रेताओं के पास ऑपरेटिंग सिस्टम में विसंगतियों और विचलनों का पता लगाने की क्षमता वाले उपकरण हैं जो आज उपयोगिताओं द्वारा सामना किए जाने वाले तकनीकी-घाटे के अंतर को भरने के लिए आवश्यक हैं। ये विक्रेता एम्प लॉगिंग, पैचिंग, परिवर्तन प्रबंधन, MOC (प्रमाणन का रखरखाव) और दूरस्थ पहुँच की सुरक्षा भी प्रदान कर सकते हैं। इन तकनीकी-अंतरालों द्वारा बनाई गई विशिष्ट आवश्यकताओं को पूरा करने के लिए विभिन्न विक्रेताओं की आवश्यकता हो सकती है। सफल विक्रेता ऐसे सुरक्षा उत्पाद बनाएगा जो OT वातावरण की विशिष्टताओं को पूरा करते हों और यथासंभव आत्मनिर्भर हों। आदर्श रूप से, उन्हें कई अन्य सुरक्षा उत्पादों की तुलना में संचालन को सुरक्षित करने का बेहतर काम करना चाहिए। बेशक, यह कार्य निष्पादित करने की तुलना में कल्पना करना आसान है।

बिजली उद्योग में कुछ लोगों को लगता है कि कई बड़े ICS विक्रेता नवाचार में उत्कृष्ट नहीं हैं। उन्हें यह कल्पना करना मुश्किल हो सकता है कि भविष्य कैसा दिखेगा। बड़े विक्रेता बेहतर और अधिक सुरक्षित उत्पाद बनाने पर ध्यान केंद्रित करते हैं, लेकिन वे अक्सर यह स्वीकार करने में विफल रहते हैं कि अंतिम उपयोगकर्ता कई विक्रेताओं के उत्पादों को शामिल करते हैं। उपयोगिताएँ विषम समाधानों के लिए जोर देती हैं जो पूरे नेटवर्क के बारे में उच्च दृष्टिकोण रखते हैं और किसी एक विक्रेता के उपकरण पर निर्भर नहीं होते हैं। “स्मार्ट ग्रिड बनाते समय मुख्य चुनौतियों में से एक लागू प्रौद्योगिकियों के विषम चरित्र से निपटना है। चूंकि उत्पाद जीवन चक्र कई दशकों तक चल सकता है, इसलिए कई अलग-अलग प्रोटोकॉल और तकनीकी समाधानों के अनुप्रयोग के कारण अगले वर्षों में समग्र प्रणाली जटिलता काफी बढ़ जाएगी। यह विषमता अंततः स्मार्ट ग्रिड पर हमले की सतहों को बढ़ाती है और इससे भेद्यता भी बढ़ सकती है।”₂₇

आईसीएस विक्रेता पारंपरिक रूप से बड़ी फर्म हैं जो अपने संचालन के तरीकों में स्थापित हैं। वर्तमान में, बाजार में कुछ हद तक उथल-पुथल है जो विक्रेता पक्ष तक फैली हुई है। बेडरॉक ऑटोमेशन नामक एक नई कंपनी औद्योगिक नियंत्रण प्रणालियों को खरोंच से डिजाइन कर रही है। वे साइबर सुरक्षा की कई मौजूदा चुनौतियों का समाधान कर रहे हैं और अभिनव होने का प्रयास कर रहे हैं, जो कि कुछ ऐसा है जो बड़े विक्रेता करने से कतराते हैं क्योंकि उनके प्रयास स्वाभाविक रूप से कम केंद्रित होते हैं।

उपयोगिताओं के लिए साइबर-रक्षा में कई सुरक्षा समाधान विक्रेता शामिल हैं, लेकिन बहुत कम हैं जो अति विशिष्ट और आईसीएस सिस्टम में इस्तेमाल होने वाले घटकों के निर्माण पर ध्यान केंद्रित किया। यह उन लोगों के लिए फायदेमंद हो सकता है जो उद्योग विक्रेताओं द्वारा निर्मित की जाने वाली वस्तुओं की दिशा को प्रभावित करने की उम्मीद कर रहे हैं।

नए उत्पाद अब दुनिया भर से ICS क्षेत्र में प्रवेश कर रहे हैं और वे अविश्वसनीय रूप से जटिल हैं, कभी-कभी तो उन्हें खरीदने वाली कंपनियों के लिए भी समझ से परे होते हैं। इससे विरोधियों के लिए अपने उत्पादों में चीज़ें छिपाना और ऑपरेटिंग सिस्टम और कोड संरचनाओं को गंभीर नुकसान पहुंचाना आसान हो जाता है। इस खतरे ने पहले अलग-थलग रहने वाली कंपनियों को एक साथ आने और अधिक विश्वसनीय समाधान बनाने के इरादे से संघ बनाने के लिए प्रेरित किया है।

स्मार्ट मीटर, विश्लेषणात्मक उत्पाद, प्रमुख प्रबंधन अवसंरचना, तथा कोई भी वस्तु जो साइबर खतरों के बढ़ने या व्यापक होने का पता लगाने में सहायता करती है; ये सभी सुरक्षा के अतिरिक्त क्षेत्र हैं जो नवाचार के लिए खुले हैं, जहां दूरदर्शी विक्रेता अपना स्थान बना सकते हैं या नए और व्यवहार्य बाजारों में अपनी पैठ बना सकते हैं।

आईडी एक्सेस और प्रमाणीकरण का भविष्य

कमजोर पासवर्ड और कभी-कभार अपडेट किए जाने वाले सॉफ्टवेयर, होमलैंड सुरक्षा विभाग को दी गई 48,000 साइबर घटनाओं के पीछे एक आवर्ती विषय हैं - जिसमें एक "दुर्भावनापूर्ण घुसपैठिए" द्वारा देश के सबसे कमजोर बांधों पर डेटा की चोरी, और एक घटना जिसमें हैकर्स ने कई अमेरिकी टीवी स्टेशनों के माध्यम से ज़ोंबी हमले के बारे में दुर्भावनापूर्ण चेतावनी प्रसारित की, ऐसा डीएचएस रिपोर्ट में पाया गया है।₂₈

कई साइबर हमले क्रेडेंशियल्स से समझौता करके या कमज़ोर पासवर्ड का फ़ायदा उठाकर शुरू किए जाते हैं। पहचान प्रमाणीकरण प्रबंधन एक अधिक विश्वसनीय सिस्टम का एक महत्वपूर्ण घटक है। सार्वजनिक, परिचालन और प्रबंधकीय स्तर के नियंत्रणों के विपरीत, तकनीकी नियंत्रण वे उत्पाद हैं जिनका उपयोग उपयोगिता कंपनियाँ अपनी परिचालन क्षमता को बेहतर बनाने के लिए करती हैं। इसलिए, जब एक्सेस नियंत्रण, लॉग-ऑन पर प्रमाणीकरण और अवांछित एजेंटों को सिस्टम से बाहर रखने की बात आती है, तो ये ऐसे नियंत्रण हैं जिन्हें केवल विक्रेता स्तर पर उत्पादों में डाला जा सकता है, और यह विक्रेता का ध्यान केंद्रित हो जाता है।

दो तरीकों से प्रमाणीकरण किसी व्यक्ति को उपयोगकर्ता नाम और पासवर्ड के सरल इनपुट के साथ OS तक पहुँच प्राप्त करने से रोका जा सकता है। समकालीन ICS सिस्टम में, विक्रेता अक्सर यह जानते हुए उत्पाद बनाते हैं कि भविष्य में कभी न कभी रखरखाव की आवश्यकता होगी। वे रखरखाव कर्मियों के उपयोग के लिए एक लॉग-इन क्षमता प्रदान कर सकते हैं जो स्वाभाविक रूप से कमजोर है, शायद केवल चार वर्णों का उपयोग कर रही है। ये पासवर्ड कभी-कभी उत्पाद के साथ वितरित किए जाते हैं और उन्हें अंतिम उपयोगकर्ता द्वारा कभी नहीं बदला जाता है, जिससे सिस्टम में साइबर हमलावरों द्वारा घुसपैठ करना आसान हो जाता है, जो आम तौर पर ज्ञात पासवर्ड और उपयोगकर्ता नाम से अवगत होते हैं। यह कुछ बुनियादी, ठीक करने योग्य और लागत-निषेधात्मक नहीं होने का एक उदाहरण है जो साइबर हमलों को रोकने में मददगार हो सकता है। वन-टाइम पासवर्ड और सुरक्षा टोकन भी लॉग-इन पर सिस्टम उपयोगकर्ताओं को प्रमाणित करने के उपयोगी साधन हैं।

यह स्पष्ट है कि दो-कारक प्रमाणीकरण के दिन अब गिने-चुने रह गए हैं। तेजी से साइबर-कनेक्ट होती दुनिया में, पहचान साबित करने के अधिक सुरक्षित तरीके विकसित करने होंगे। "बायोमेट्रिक्स ... हमारी पहचान के तरीके में एक मौलिक बदलाव है। पारंपरिक पहचान के विपरीत जिसे आपको या तो याद रखना होता है या अपने साथ रखना होता है, बायोमेट्रिक्स हैं आप, जिसमें आवाज़ विश्लेषण, आईरिस पैटर्न, नस मिलान, चाल विश्लेषण, और इसी तरह शामिल हैं। ऐसे लक्षण किसी व्यक्ति के लिए अद्वितीय होते हैं और उन्हें नकली बनाना बेहद मुश्किल होता है.”₂₉ बायोमेट्रिक्स और प्रमाणीकरण के और भी अधिक सुरक्षित तरीके क्षितिज पर हैं। ऊर्जा क्षेत्र साइबर सुरक्षा खतरों को खत्म करने की चुनौती का सामना करने के लिए अनुकूलन और विकास करेगा, लेकिन उद्योग के विरोधी अत्यधिक चतुर हैं और नई प्रौद्योगिकियों का उपयोग करने की उसी दौड़ का हिस्सा हैं।

प्रमुख खरीद कारक  सुरक्षा विक्रेताओं का चयन करते समय

इलेक्ट्रिक यूटिलिटी कंपनियाँ अपने ICS विक्रेताओं और सुरक्षा समाधान विक्रेताओं का चयन सावधानी से करती हैं। वे विक्रेताओं के इतिहास की जाँच करते हैं ताकि यह पता चल सके कि उन्होंने अतीत में किस तरह का शोध किया है और वे यह भी ध्यान रखते हैं कि उत्पाद किस देश से आ रहे हैं और उसके क्या निहितार्थ हैं। बेशक, ऊर्जा क्षेत्र में दीर्घकालिक संबंध और विश्वास के बंधन महत्वपूर्ण हैं।  यह असंभव है कि कोई बड़ी यूटिलिटी किसी छोटे स्टार्टअप के साथ सीधे बिक्री में शामिल हो जो संभावित रूप से विघटनकारी कुछ दे रहा हो। ज़्यादातर मामलों में, स्टार्टअप को चैनल पार्टनर जैसे कि सुरक्षा कंपनी या आईसीएस विक्रेता के ज़रिए जाना होगा ताकि उन चैनलों से समर्थन और विश्वसनीयता मिल सके। 

कई कंपनियाँ NERC मानकों और अनुपालन मानदंडों को पूरा करने के बारे में चिंतित हैं। कुछ लोग तर्क देंगे कि अंतिम ध्यान सुरक्षा पर होना चाहिए, उनका मानना है कि अच्छी सुरक्षा का उप-उत्पाद अच्छा अनुपालन है। बार-बार, अनुपालन जीत जाता है क्योंकि सुरक्षा प्राप्त करने की उच्च लागत होती है। विक्रेता द्वारा आपूर्ति किए गए सुरक्षा उत्पादों को विभिन्न नियंत्रण प्रणालियों के भीतर अच्छी तरह से काम करने, विरासत उत्पादों और संचालन के साथ एकीकृत होने और लागत प्रभावी और प्रतिस्पर्धी होने की आवश्यकता है।   

बाधाओं के बावजूद, है स्टार्ट-अप और इनोवेटर्स के लिए जगह। बाजार फिलहाल सुरक्षित नहीं है और यह व्यावहारिक समाधानों की तलाश कर रहा है, चाहे वे कहीं से भी आएं। हर समय नई प्रणालियाँ आ रही हैं। ऊर्जा कंपनियाँ ऐसे विक्रेताओं की तलाश कर रही हैं जिनके पास उन्हें सुरक्षित रखने और उन पर तुरंत प्रतिक्रिया देने की सिस्टम क्षमता हो। वे ऐसे विक्रेता चाहते हैं जो व्यवहार्य समाधान प्रदान करें जिन्हें परिस्थितियों के बदलने पर आसानी से अपडेट किया जा सके। "इनोवेटर की भूमिका उन कंपनियों के पास आ गई है जिनके पास विरासत नहीं है और जो समस्याओं को नए तरीकों से देखने के लिए तैयार हैं ... है छोटे विक्रेताओं के लिए वित्तपोषण प्राप्त करने और सुरक्षा क्षेत्र में अपनी जगह बनाने का एक अवसर।"₃₀

साइबर सुरक्षा में सब कुछ दांव पर लगा होने के कारण, बिजली कंपनियों के लिए विक्रेताओं की प्रतिष्ठा एक बहुत बड़ा विचारणीय विषय है। आईटी/ओटी और भौतिक सुरक्षा कर्मी सालाना कई सम्मेलनों में भाग लेते हैं और विक्रेता की प्रतिष्ठा हमेशा रुचि का विषय होती है। इस बात को लेकर आम सहमति बनी हुई है कि कौन से विक्रेता अच्छे हैं और कौन से बुरे। सुरक्षाकर्मी इस बात से बहुत अवगत हैं कि कौन ज़्यादा वादा करता है और कौन कम देता है, इसलिए प्रतिष्ठा सर्वोपरि है।

क्या विदेशी विक्रेताओं पर अमेरिकी सुरक्षा का भरोसा किया जा सकता है?

वाणिज्य की वैश्विक दुनिया में, ऊर्जा कंपनियाँ कभी-कभी सुरक्षा आवश्यकताओं के लिए विदेशी विक्रेताओं का चयन करती हैं, लेकिन आउटसोर्स करने का निर्णय लेना मुश्किल हो सकता है और जब उन विक्रेताओं की पृष्ठभूमि की जाँच करने की बात आती है, जिनके पास उनके शिपमेंट तक दूरस्थ पहुँच होती है, तो यह समस्याग्रस्त हो सकता है। कुछ लोग इसे एक अलग भेद्यता के रूप में देखते हैं। कभी-कभी, राजनीतिक परिस्थितियाँ कंपनियों को कुछ विक्रेताओं का चयन करने से रोक सकती हैं (उदाहरण: उत्तरी अमेरिकी कंपनियाँ मध्य पूर्व में उत्पाद नहीं बेच पा रही हैं क्योंकि कुछ घटक इज़राइल में बने हैं)। छोटी कंपनियाँ उत्पादों की उत्पत्ति के बारे में उतनी विशेष नहीं लगतीं, जब तक कि वे अपना काम पूरा कर लें।

वर्तमान में, इटली, फ्रांस और नीदरलैंड में कुछ छोटे स्टार्ट-अप आईसीएस सुरक्षा प्रदाता हैं। अमेरिका में, इनमें से कुछ ही ऐसी यूटिलिटी कंपनियों को सेवाएँ प्रदान करते हैं जिनके पास किसी भी तरह की विकसित, परिपक्व घटना प्रतिक्रिया क्षमता होती है। यदि विदेशी विक्रेताओं को अमेरिका में सफलता प्राप्त करनी है, तो उन्हें अमेरिका आधारित घटना प्रतिक्रिया प्रणाली अपनानी होगी।विदेशी विक्रेताओं को संयुक्त राज्य अमेरिका में महत्वपूर्ण भौतिक प्रतिनिधित्व होने से भौगोलिक सीमाओं और राष्ट्रीय सुरक्षा हितों का सम्मान करना लाभदायक लगेगा।

अमेरिका में, कई लोग "अमेरिकी खरीदने" के महत्व के बारे में बात करते हैं। ऑटोमोबाइल उद्योग एक दिलचस्प समानांतर प्रदान करता है। कारें दुनिया भर के स्थानों पर निर्मित विभिन्न घटकों से बनी होती हैं, इससे पहले कि वे अंततः टेनेसी में असेंबल की जाती हैं। तो, क्या यह वास्तव में एक अमेरिकी कार है या नहीं? ऊर्जा कंपनियाँ वैश्विक बाज़ार में काम करती हैं और विदेशी निर्माता तेजी से ऐसे उत्पाद बना रहे हैं जिनकी अमेरिकी कंपनियों को ज़रूरत है। कई सालों तक, आईटी, कंप्यूटर और सॉफ़्टवेयर अमेरिका में बनाए जाते थे, लेकिन अब आउटसोर्सिंग अधिक हो गई है और यह जर्मनी में सीमेंस जैसी कंपनियों के साथ आगे भी जारी रहेगी, इसका एक प्रमुख उदाहरण है। 

जल्द ही, यह बात मायने नहीं रखेगी कि कोई उत्पाद कहां से आया है, अगर उसे विनिर्देशों के अनुसार बनाया गया है और वह भरोसेमंद है। खरीदार शायद विशेष सुरक्षा उत्पाद नहीं खरीदना चाहेंगे प्रत्येक सिस्टम, लेकिन उत्पादों की विविधता को शामिल करने का चुनाव कर सकता है। साइबर हमले में, नेटवर्क में फैले एक प्रकार के उत्पाद पूरे बुनियादी ढांचे को नष्ट कर सकते हैं। घटकों की विविधता ऑपरेटिंग सिस्टम की बेहतर लचीलापन की ओर ले जाती है। घटक चाहे कहीं भी उत्पन्न हों, सुरक्षा समाधान विक्रेताओं के लिए अपने ग्राहकों को उनके उत्पादों के बारे में आश्वासन और विश्वसनीयता की भावना प्रदान करना आवश्यक होगा।

बेशक, अमेरिका के कई “फ्लाई-बाय” देशों जैसे कि यूके, कनाडा, न्यूजीलैंड और ऑस्ट्रेलिया के साथ घनिष्ठ संबंध हैं। इन जगहों का खुफिया समुदाय में भी घनिष्ठ संबंध है और वे आपस में बातचीत करने और जानकारी साझा करने के आदी हैं।

नियामकों के साथ संबंध

साइबर सुरक्षा बाजार में पैठ बनाने की उम्मीद रखने वाले विदेशी विक्रेता नेटवर्किंग और विनियामकों के साथ घनिष्ठ संबंध बनाने को लाभकारी मान सकते हैं, हालांकि, वे उन बातचीत के साथ सावधान रहना चाह सकते हैं। ऐसी नीतियाँ और निर्देश हैं जो विनियामकों की निष्पक्षता बनाए रखने के हित में ऐसे संबंधों को प्रतिबंधित करते हैं। बहुत से कर्मियों वाली बड़ी कंपनियाँ अपने विभिन्न एजेंडों को आगे बढ़ाते हुए विनियामकों के साथ अधिक हद तक संपर्क कर सकती हैं, लेकिन यह उन लोगों के लिए उतना महत्वपूर्ण नहीं है जो कोर तकनीक बनाने में शामिल हैं।

आदर्श रूप से, विनियामकों को विवाद से ऊपर उठकर काम करना चाहिए। उनके पास करने के लिए एक काम है और उनके पास विनियमित करने के लिए एक क्षेत्र है और वे यही करते हैं। साइबर सुरक्षा की दुनिया में, निष्पक्षता, तकनीकी शुद्धता, सार्वजनिक जांच और समग्र पारदर्शिता सर्वोपरि हैं। इससे कम कुछ भी किसी भी दिशा में संबंधों को नकारात्मक रूप से प्रभावित कर सकता है।

क्या नये विक्रेता पैर जमा पाएंगे?

अधिकांश लोग ऊर्जा उद्योग में प्रमुख विक्रेताओं से परिचित हैं. शेल, एक्सॉन और शेवरॉन तेल और गैस क्षेत्र में अग्रणी हैं। डीसीएस नियंत्रण प्रणाली विक्रेताओं के रूप में हनीवेल और सीमेंस दूसरों से आगे हैं। उद्योग के नेता को स्पष्ट रूप से परिभाषित करना कठिन हो सकता है, लेकिन एक बात निश्चित है। बड़ी कंपनियों के पास अधिक दांव पर होता है और वे हमेशा बड़े सार्वजनिक राय से संबंधित मुद्दों से निपटती हैं।

सुरक्षा समाधान बाजार में पैर जमाने की कोशिश कर रहे नए विक्रेताओं के लिए, यह अविश्वसनीय रूप से कठिन हो सकता है। इनमें से कई नवोदित उद्यम पहले कुछ वर्षों में विफल हो जाते हैं। साइबर हमलों के खतरे के बावजूद, विक्रेताओं को अभी भी संभावित ग्राहकों के दिल और दिमाग को जीतने के कार्य का सामना करना पड़ता है। कई ऊर्जा फर्मों के लिए पर्याप्त सुरक्षा प्रदान करने के लिए आवश्यक सुरक्षा में महत्वपूर्ण निवेश करने के लिए आकर्षक तर्क होना चाहिए। "यदि विक्रेता यह नहीं पहचान सकता है कि कोई वास्तविक समस्या है और अच्छे समाधानों की कमी है, तो संभवतः उसे बाजार में जाने में परेशानी होगी ... एक स्टार्टअप का दृष्टिकोण आशाजनक होना चाहिए और संगठन के वातावरण के अनुरूप होने की क्षमता होनी चाहिए। यह भी महसूस होना चाहिए कि विक्रेता के पास एक सुसंगत टीम है जो बदलती बाजार स्थितियों और विकसित हो रहे सुरक्षा रुझानों का जवाब देने के लिए पर्याप्त रूप से चुस्त है।"₃₁

विक्रेताओं, ऊर्जा क्षेत्र और पूरे समाज के लिए समस्या का एक हिस्सा यह है कि सुरक्षा संबंधी सावधानी बरतने के लिए वास्तव में कोई स्पष्ट रूप से परिभाषित पैरामीटर नहीं हैं। कुछ क्षेत्रों में विनियमन साइबर सुरक्षा उपायों के कार्यान्वयन और वृद्धि के संबंध में आवश्यक व्यवहार को परिभाषित करने में मदद करते हैं, लेकिन उद्योग अभी भी “करना है बनाम अच्छा करना है” ग्रे क्षेत्र में फंसा हुआ है, और अभी भी एक लक्ष्य तक पहुँचने की आवश्यकता हो सकती है दर्द का स्थान जहां कोई आपदा घटित होती है जो बातचीत को बदल देती है और जो अनुचित लगता था उसे अचानक उचित बना देती है।

हाँ वे कर सकते हैं!

दूसरों का मानना है कि संसाधन संपन्न नए विक्रेता वास्तव में अनुपालन क्षेत्र में बाजार हिस्सेदारी हासिल कर सकते हैं। आखिरकार, दुनिया हमेशा एक अच्छी चीज की तलाश में रहती है ... कुछ नया और क्रांतिकारी। कई छोटे विक्रेता मूल्यवान संबंध बनाते हैं क्योंकि वे स्पष्टवादी, भरोसेमंद, स्पष्टवादी और पारदर्शी होते हैं। सिर्फ़ इसलिए कि कोई कंपनी बड़ी है, ज़रूरी नहीं कि वह सबसे अच्छी हो। एक छोटी कंपनी जिसके पास वास्तव में मदद करने वाली प्रौद्योगिकी प्रणाली हो, वह सफलता पा सकती है। प्रभावशाली उत्पादों, उपकरणों और GRC की कोई कमी नहीं है  (शासन, जोखिम प्रबंधन और अनुपालन) पैकेज, लेकिन अभी भी ऐसे लोगों की आवश्यकता है जो उन्हें संचालित कर सकें और उनका रखरखाव कर सकें। अंत में जीतने वाले विक्रेताओं को ऐसे उत्पाद प्रदान करने होंगे जिनमें कम मानवीय हस्तक्षेप और रखरखाव की आवश्यकता हो। इस क्षेत्र में सुधार की आवश्यकता है और इसलिए बहुत सारे अवसर मौजूद हैं।

इस अवसर के बावजूद, इस तथ्य को छिपाया नहीं जा सकता कि बाजार में जाने का दर्जा हासिल करना आसान नहीं है। एक नए विक्रेता के पास एक अच्छा उत्पाद हो सकता है, लेकिन आईटी और ओटी के अभिसरण को सक्षम करना और विशिष्ट संगठनों की मांगों और चुनौतियों को पूरा करना एक कठिन काम है। उपयोगिताओं के साथ नए संबंधों को सक्षम करने के हित में एक नए और/या छोटे विक्रेता के लिए एक बड़ी कंपनी के साथ साझेदारी करने का प्रयास करना अक्सर फायदेमंद होता है। अंततः, विक्रेताओं को एक सम्मोहक मामला प्रस्तुत करना होगा कि उनकी तकनीक वास्तविक सुरक्षा समाधान क्यों प्रदान करेगी। बाजार उस प्रकार के नवाचार की प्रतीक्षा कर रहा है। आला अनुप्रयोग अनुपालन पक्ष पर आशाजनक अवसर का एक और क्षेत्र है। छोटे समाधान जो अति-केंद्रित हैं, उनका भी बाजार में स्थान है, लेकिन फिर से, विक्रेताओं को एक बड़े खिलाड़ी के साथ साझेदारी करने की आवश्यकता हो सकती है।

साइबर सुरक्षा बाजार अनुसंधान समाधान

साइबर सुरक्षा एक नया क्षेत्र है और आने वाले वर्षों में ऊर्जा क्षेत्र और उससे परे इसका महत्व और बढ़ेगा। साइबर सुरक्षा में एन्क्रिप्शन, डेटा सुरक्षा, वायरस, एआई और ब्लॉकचेन प्रमुख विकास क्षेत्र हैं। साइबर हमले का वास्तविक खतरा हमेशा मौजूद रहता है और अराजकता पैदा करने, अवैध रूप से लाभ कमाने या कथित राजनीतिक स्कोर को निपटाने पर तुले लोगों के कारण यह खतरा लगातार बढ़ रहा है, वे अपने कौशल को निखारने और अपने साइबर-हमले के शस्त्रागार में तेजी से विकसित हो रही तकनीकों को शामिल करने में लगे हुए हैं। सुरक्षा समाधान विक्रेताओं को महत्वपूर्ण ऊर्जा अवसंरचना और इससे जुड़े लोगों की सुरक्षा में महत्वपूर्ण भूमिका निभानी है। सच्चे नवप्रवर्तक सफल होंगे, साथ ही वे भी सफल होंगे जो यह दिखाएंगे कि उनके उत्पाद काम करते हैं और हमारे देश के पावर ग्रिड की समग्र कार्यक्षमता और दुनिया भर में ऊर्जा वितरण की विश्वसनीयता में योगदान करते हैं।

निम्नलिखित लिंक इस पेपर के निर्माण में प्रयुक्त स्रोतों से मेल खाते हैं।

2. http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html

3. http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite

4. http://itlaw.wikia.com/wiki/Cybersecurity_Framework

7. http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

8. http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf

10. http://en.wikipedia.org/wiki/Heterogeneous_database_system

11.  

12. http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf

13. http://phys.org/news/2014-06-breaches.html

14. http://www.dhs.gov/publication/cybersecurity-insurance

17. http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf

18. http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework

20. http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html

24. http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28

25. http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html

27. http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf

28. http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/

29. http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/

30. http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669

अतिरिक्त स्रोत सामग्री:

http://itlaw.wikia.com/wiki/Cybersecurity_Framework

http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

https://news.vice.com/article/what-the-hell-is-going-on-with-the-new-us-cybersecurity-initiative

http://www.dhs.gov/protective-investigations-program-0

http://www.quora.com/Do-you-agree-that-real-time-attack-detection-is-the-future-of-cyber-security

http://www.securitymagazine.com/articles/85752-the-most-influential-people-in-security-2014