Klíčové aspekty dodržování předpisů a zabezpečení v energetickém průmyslu

Ilustrační metafora pro globální pohled na různá odvětví využívající cloud.

Úvod

Energetický průmysl poskytuje společnosti palivo a kritickou infrastrukturu, na kterou se lidé každý den spoléhají. Aby se zajistila spolehlivost infrastruktury související s hromadnou spotřebou energie, ukládají regulační orgány přísné normy pro organizace v energetickém průmyslu. Tyto regulační normy se týkají nejen výroby a přenosu energie, ale také dat a komunikací, které jsou důležité pro každodenní provoz energetických společností.

Organizace v energetickém průmyslu pracují s mnoha typy informací a vyměňují si je v rámci svého pravidelného provozu. Tyto informace zahrnují zákaznická data, dokumentaci k návrhu kapitálového inženýrství, mapy umístění zdrojů, artefakty řízení projektů, metriky výkonu, sestavy služeb v terénu, data o životním prostředí a metriky výkonu. Vzhledem k tomu, že tyto organizace chtějí transformovat své provozní systémy a systémy pro spolupráci na moderní digitální platformy, hledají Microsoft jako důvěryhodného poskytovatele cloudových služeb (CSP) a Microsoft 365 jako nejlepší platformu pro spolupráci. Vzhledem k tomu, že Microsoft 365 je založený na platformě Microsoft Azure, měly by organizace při přechodu na cloud zvážit dodržování předpisů a kontroly zabezpečení.

V Severní Amerika společnost Severní Amerika Electric Reliability Corporation (NERC) vynucuje standardy spolehlivosti, které se označují jako standardy NERC Critical Infrastructure Protection (CIP). NERC podléhá dohledu americké Federální energetické regulační komise (FERC) a vládních orgánů v Kanadě. Všichni vlastníci, operátoři a uživatelé systémů hromadné energie se musí zaregistrovat u NERC a musí dodržovat standardy NERC CIP. Poskytovatelé cloudových služeb a dodavatelé třetích stran, jako je Microsoft, se nevztahují na standardy NERC CIP. Normy CIP však zahrnují cíle, které by měly být vzaty v úvahu, když registrované subjekty používají dodavatele při provozu hromadného elektrického systému (BES). Zákazníci Microsoftu, kteří provozují hromadné elektrické systémy, jsou plně zodpovědní za zajištění vlastního dodržování standardů NERC CIP.

Informace o cloudových službách Microsoftu a NERC najdete v následujících zdrojích informací:

Mezi regulační standardy, které energetické organizace doporučují, patří FedRAMP (US Federal Risk and Authorization Management Program), který je založen na standardu NIST SP 800-53 Rev 4 (National Institute of Standards and Technology) a rozšiřuje ho.

  • Microsoft Office 365 a Office 365 vládě USA bylo uděleno oprávnění fedRAMP ATO (Authorization to Operate) na úrovni středně závažného dopadu.
  • Azure a Azure Government získaly vysoké P-ATO (Prozatímní oprávnění k provozu) FedRAMP, které představuje nejvyšší úroveň autorizace FedRAMP.

Informace o cloudových službách Microsoftu a FedRAMP najdete v následujících zdrojích informací:

Tyto úspěchy jsou významné pro energetický průmysl, protože srovnání kontrolní sady FedRAMP Moderate a požadavků NERC CIP ukazuje, že kontroly FedRAMP Moderate zahrnují všechny požadavky NERC CIP. Pro další informace Microsoft vyvinul Průvodce implementací cloudu pro audity NERC , který obsahuje mapování kontrol mezi aktuální sadou standardů NERC CIP a kontrolní sadou FedRAMP Moderate, jak je popsáno v dokumentu NIST 800-53 Rev 4.

Vzhledem k tomu, že se odvětví energetiky snaží modernizovat své platformy pro spolupráci, je potřeba pečlivě zvážit konfiguraci a nasazení nástrojů pro spolupráci a kontrolních mechanismů zabezpečení, včetně:

  • Posouzení běžných scénářů spolupráce
  • Přístup k datům vyžadovaným zaměstnanci, aby mohli být produktivní
  • Požadavky na dodržování právních předpisů
  • Související rizika pro data, zákazníky a organizaci

Microsoft 365 je moderní cloudové prostředí na pracovišti. Poskytuje zabezpečenou a flexibilní spolupráci v rámci celého podniku, včetně kontrolních mechanismů a vynucování zásad, aby bylo možné dodržovat ty nejnáročnější rámce dodržování právních předpisů. Prostřednictvím následujících článků se tento dokument zabývá tím, jak Microsoft 365 pomáhá energetickému průmyslu přejít na moderní platformu pro spolupráci a zároveň udržovat data a systémy zabezpečené a v souladu s předpisy:

  • Poskytování komplexní platformy pro spolupráci s Microsoft Teams
  • Zajištění bezpečné a vyhovující spolupráce v energetickém průmyslu
  • Identifikace citlivých dat a prevence ztráty dat
  • Řízení dat efektivní správou záznamů
  • Dodržování předpisů FERC a FTC pro energetické trhy
  • Ochrana před exfiltrací dat a rizikem programu Insider

Jako partner Microsoftu přispěla protiviti k tomuto článku a poskytla k tomuto článku materiálnou zpětnou vazbu.

Poskytování komplexní platformy pro spolupráci s Microsoft Teams

Spolupráce obvykle vyžaduje různé formy komunikace, schopnost ukládat dokumenty a přistupovat k nim a podle potřeby integrovat další aplikace. Ať už se jedná o globální podniky nebo místní společnosti, zaměstnanci v energetickém sektoru obvykle potřebují spolupracovat a komunikovat se členy jiných oddělení nebo mezi týmy. Často také potřebují komunikovat s externími partnery, dodavateli nebo klienty. V důsledku toho se obvykle nedoporučuje používat systémy, které vytvářejí sila nebo ztěžují sdílení informací. Přesto chceme zajistit, aby zaměstnanci informace bezpečně a v souladu se zásadami sdílí.

Když zaměstnancům poskytnete moderní a cloudovou platformu pro spolupráci, která jim umožní zvolit a snadno integrovat nástroje, které jim umožní dosáhnout nejvyšší produktivity, umožní jim najít nejlepší způsoby práce a spolupráce. Používání Microsoft Teams společně s kontrolními mechanismy zabezpečení a zásadami správného řízení k ochraně organizace může vašim pracovníkům pomoct snadno spolupracovat v cloudu.

Microsoft Teams poskytuje pro vaši organizaci centrum pro spolupráci, které umožňuje lidem spolupracovat a spolupracovat na společných iniciativách nebo projektech. Umožňuje členům týmu vést konverzace, spolupracovat a spoluvytvářet dokumenty. Umožňuje uživatelům ukládat a sdílet soubory se členy týmu nebo s lidmi mimo tým. Umožňuje jim také pořádat živé schůzky s integrovaným podnikovým hlasem a videem. Microsoft Teams je možné přizpůsobit se snadným přístupem k aplikacím Microsoftu, jako je Planner, Dynamics 365, Power BI a další obchodní aplikace třetích stran. Teams zjednodušuje přístup ke službám Office 365 a aplikacím třetích stran za účelem centralizace potřeb organizace v rámci spolupráce a komunikace.

Každý tým Microsoftu má podporu Office 365 Group. Skupina Office 365 se považuje za poskytovatele členství pro Office 365 služby, včetně Microsoft Teams. Office 365 Skupiny slouží k bezpečnému řízení, kteří uživatelé jsou považováni za členy a kteří vlastníci skupiny. Tento návrh nám umožňuje snadno řídit, kteří uživatelé mají přístup k různým možnostem v rámci Teams. V důsledku toho můžou členové týmu a vlastníci přistupovat jenom k možnostem, které mají povolené.

Běžným scénářem, kdy microsoft Teams může být přínosem pro energetické organizace, je spolupráce s dodavateli nebo externími firmami v rámci programu terénních služeb, jako je například správa vegetace. Dodavatelé se obvykle zabývají správou vegetace nebo odstraňováním stromů v okolí instalací energetické soustavy. Často potřebují přijímat pracovní pokyny, komunikovat s dispečery a dalšími pracovníky terénních služeb, pořizovat a sdílet fotky externího okolí, odhlásit se po dokončení práce a sdílet data zpět se sídlem. Tyto programy se tradičně spouští pomocí telefonu, textových zpráv, papírových pracovních objednávek nebo vlastních aplikací. Tato metoda může představovat řadu výzev. Příklady:

  • Procesy jsou ruční nebo analogické, což ztěžuje sledování metrik
  • Komunikace se nezachytává na jednom místě.
  • Data jsou v silu a nemusí se nutně sdílet se všemi zaměstnanci, kteří je potřebují.
  • Práce nemusí být prováděna konzistentně nebo efektivně
  • Vlastní aplikace nejsou integrované s nástroji pro spolupráci, což ztěžuje extrakci a sdílení dat nebo měření výkonu

Microsoft Teams poskytuje snadno použitelný prostor pro spolupráci pro bezpečné sdílení informací a vedení konverzací mezi členy týmu a externími dodavateli služeb v terénu. Teams je možné použít k vedení schůzek, hlasovým hovorům, centrálnímu ukládání a sdílení pracovních objednávek, shromažďování dat v terénu, nahrávání fotek, integraci s řešeními obchodních procesů (vytvořených pomocí Power Apps a Power Automate) a integraci obchodních aplikací. Tento typ dat služeb v terénu může být považován za malý dopad; Efektivitu však lze dosáhnout centralizací komunikace a přístupových dat mezi zaměstnanci a pracovníky služeb v terénu v těchto scénářích.

Dalším příkladem, kdy microsoft Teams může být přínosem pro odvětví energetiky, je, když pracovníci terénních služeb pracují na obnovení služby během výpadku. Pracovníci v terénu často vyžadují rychlý přístup ke schématickým datům pro rozvodny, generující stanice nebo modré otisky pro prostředky v terénu. Tato data jsou považována za velký dopad a musí být chráněna podle předpisů NERC CIP. Práce v terénu během výpadků vyžaduje komunikaci mezi pracovníky terénu a zaměstnanci kanceláře a následně s koncovými zákazníky. Centralizace komunikace a sdílení dat v Microsoft Teams poskytuje pracovníkům v terénu snadný způsob přístupu k důležitým datům a předávání informací nebo stavu zpět do ústředí. Microsoft Teams například umožňuje pracovníkům v terénu připojit se ke konferenčním hovorům, když jsou na cestě k výpadku. Pracovníci terénu můžou také pořizovat fotky nebo videa ze svého prostředí a sdílet je s ústředím, což je zvlášť důležité, když vybavení terénu neodpovídá schématům. Data a stav shromažďované z terénu se pak můžou zobrazit zaměstnancům kanceláře a vedení prostřednictvím nástrojů pro vizualizaci dat, jako je Power BI. Microsoft Teams může v těchto kritických situacích zvýšit efektivitu a produktivitu pracovníků v terénu.

Týmy: Zlepšení spolupráce a snížení rizika dodržování předpisů

Microsoft 365 poskytuje možnosti společných zásad pro Microsoft Teams tím, že používá Office 365 Groups jako základního poskytovatele členství. Tyto zásady můžou pomoct zlepšit spolupráci a vyhovět požadavkům na dodržování předpisů.

Office 365 zásady pojmenování skupin pomáhají zajistit, aby Office 365 skupiny, a tedy i Microsoft Teams, byly pojmenovány podle firemních zásad. Název týmu může představovat výzvy, pokud není správně pojmenovaný. Zaměstnanci například nemusí vědět, ve kterých týmech mají pracovat nebo sdílet informace, pokud jsou nesprávně pojmenovány. Zásady pojmenování skupin pomáhají vynucovat správnou hygienu a můžou také bránit použití určitých slov, jako jsou vyhrazená slova nebo nevhodná terminologie.

Office 365 Zásady vypršení platnosti skupiny pomáhají zajistit, aby se Office 365 skupiny, a tedy i Microsoft Teams, neuchovávají po delší dobu, než vyžaduje organizace. Tato funkce pomáhá zabránit dvěma problémům se správou klíčových informací:

  • Rozšíření Microsoft Teams, které nejsou nezbytné nebo používané
  • Nadměrné uchovávání dat, která už organizace nevyžaduje

Správci můžou pro skupiny Office 365 určit dobu vypršení platnosti ve dnech (například 90, 180 nebo 365 dnů). Pokud je služba podporovaná skupinou Office 365 po dobu vypršení platnosti neaktivní, budou upozorněni vlastníci skupiny. Pokud se neuskuteční žádná akce, skupina Office 365 a všechny související služby včetně Microsoft Teams se odstraní.

Nadměrné uchovávání dat v týmu Microsoftu může pro organizace představovat riziko soudního sporu. Použití zásad vypršení platnosti je doporučenou metodou ochrany organizace. V kombinaci s integrovanými popisky uchovávání informací a zásadami pomáhá Microsoft 365 zajistit, že organizace uchovávají jenom data potřebná ke splnění zákonných povinností.

Teams: Snadná integrace vlastních požadavků

Microsoft Teams ve výchozím nastavení umožňuje samoobslužné vytváření Teams. Mnoho regulovaných organizací ale chce řídit a pochopit, které prostory pro spolupráci zaměstnanci aktuálně používají, které prostory obsahují citlivá data a kdo je vlastníkem prostorů v celé organizaci. Pro usnadnění těchto ovládacích prvků microsoft 365 umožňuje organizacím zakázat samoobslužné vytváření teams. Používání integrovaných nástrojů microsoftu 365 pro automatizaci obchodních procesů, jako jsou Power Apps a Power Automate, také umožňuje organizacím vytvářet jednoduché procesy pro vyžádání nového týmu. Vyplněním snadno použitelného formuláře může manažer automaticky požádat o schválení. Po schválení se tým může automaticky zřídit a žadateli se odešle odkaz na nový tým. Vytvořením takových procesů můžou organizace integrovat také vlastní požadavky, aby usnadnily další obchodní procesy.

Zajištění bezpečné a vyhovující spolupráce v energetickém průmyslu

Jak již bylo zmíněno, Microsoft Office 365 a Office 365 vláda USA dosáhla fedRAMP ATO na střední úrovni dopadu. Azure a Azure Government dosáhly vysokého P-ATO fedRAMP, který představuje nejvyšší úroveň autorizace FedRAMP. Kontrolní sada FedRAMP kromě toho zahrnuje všechny požadavky NERC CIP, což umožňuje organizacím v odvětví energetiky ("registrovaným subjektům") využívat stávající oprávnění FedRAMP jako škálovatelný a účinný přístup k řešení požadavků na audit NERC. Je však důležité poznamenat, že FedRAMP není certifikace k určitému bodu v čase, ale program hodnocení a autorizace, který zahrnuje ustanovení pro průběžné monitorování. I když se toto ustanovení vztahuje především na poskytovatele CSP, zákazníci Microsoftu provozující hromadné elektrické systémy zodpovídají za zajištění vlastního dodržování standardů NERC CIP. Obecně se doporučuje nepřetržitě monitorovat stav dodržování předpisů v organizaci, aby se zajistilo trvalé dodržování předpisů.

Microsoft poskytuje klíčový nástroj, který vám pomůže s monitorováním dodržování předpisů v průběhu času:

  • Microsoft Purview Compliance Manager pomáhá organizaci pochopit její aktuální stav dodržování předpisů a akce, které může provést, aby tento stav zlepšila. Správce dodržování předpisů vypočítá skóre na základě rizik, které měří průběh provádění akcí, které pomáhají snižovat rizika související s ochranou dat a zákonnými standardy. Správce dodržování předpisů poskytuje počáteční skóre na základě standardních hodnot ochrany dat Microsoftu 365. Tento směrný plán je sada kontrolních mechanismů, které zahrnují běžné oborové předpisy a standardy. Toto skóre je sice dobrým výchozím bodem, ale Jakmile organizace přidá hodnocení, která jsou relevantnější pro dané odvětví, zvýší výkon správce dodržování předpisů. Správce dodržování předpisů podporuje řadu regulačních standardů, které jsou relevantní pro povinnosti dodržování předpisů NERC CIP, včetně sady FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 a AICPA SOC 2. Organizace v odvětví energetiky můžou v případě potřeby také vytvořit nebo importovat vlastní sady ovládacích prvků.

Funkce pracovních postupů integrované do Správce dodržování předpisů umožňují energetickým organizacím transformovat a digitalizovat procesy dodržování právních předpisů. Tradičně se týmy pro dodržování předpisů v energetickém průmyslu potýkají s následujícími výzvami:

  • Nekonzistentní hlášení nebo sledování průběhu nápravných akcí
  • Neefektivní nebo neefektivní procesy
  • Nedostatečné prostředky nebo chybějící vlastnictví
  • Nedostatek informací v reálném čase a lidská chyba

Díky automatizaci aspektů procesů dodržování právních předpisů pomocí Správce dodržování předpisů můžou organizace snížit administrativní zátěž právních funkcí a funkcí dodržování předpisů. Tyto nástroje vám můžou pomoct tyto výzvy vyřešit tím, že poskytují aktuální informace o nápravných akcích, konzistentnější vytváření sestav a zdokumentované vlastnictví akcí (spojené s implementací akcí). Organizace můžou automaticky sledovat nápravné akce v průběhu času a sledovat celkové zvýšení efektivity. Tato funkce umožňuje zaměstnancům zaměřit se více na získání přehledů a vývoj strategií, které pomohou efektivněji se orientovat v riziku.

Správce dodržování předpisů nevyjadřuje absolutní míru dodržování předpisů organizace s konkrétními standardy nebo předpisy. Vyjadřuje rozsah, v jakém jste přijali kontrolní mechanismy, které mohou snížit rizika pro osobní údaje a ochranu osobních údajů jednotlivců. Doporučení od Správce dodržování předpisů by se neměla interpretovat jako záruka dodržování předpisů. Akce zákazníka poskytované ve Správci dodržování předpisů jsou doporučení. Před implementací je na každé organizaci, aby vyhodnotila účinnost těchto doporučení, aby splnila své zákonné povinnosti. Doporučení ve Správci dodržování předpisů by se neměla interpretovat jako záruka dodržování předpisů.

Řada kontrolních mechanismů souvisejících s kybernetickým zabezpečením je součástí standardů FedRAMP Moderate Control Set a NERC CIP. Mezi klíčové kontrolní mechanismy související s platformou Microsoftu 365 ale patří kontrolní mechanismy správy zabezpečení (CIP-003-6), správa účtů a přístupu/ odvolání přístupu (CIP-004-6), elektronická bezpečnostní perimetr (CIP-005-5), monitorování událostí zabezpečení a reakce na incidenty (CIP-008-5). Následující základní funkce Microsoftu 365 pomáhají řešit rizika a požadavky zahrnuté v těchto článcích.

Zabezpečení identit uživatelů a řízení přístupu

Ochrana přístupu k dokumentům a aplikacím začíná silným zabezpečením identit uživatelů. Tato akce jako základ vyžaduje, aby podnik poskytl zabezpečenou platformu pro ukládání a správu identit a poskytoval důvěryhodné prostředky ověřování. Vyžaduje také dynamické řízení přístupu k těmto aplikacím. Když zaměstnanci pracují, můžou se přesouvat z aplikace do aplikace nebo mezi více místy a zařízeními. V důsledku toho se přístup k datům musí ověřovat v každém kroku cesty. Kromě toho musí proces ověřování podporovat silný protokol a několik faktorů ověřování (jednorázový přístupový kód SMS, ověřovací aplikace, certifikát atd.), aby se zajistilo, že identity nebyly ohroženy. A konečně, vynucování zásad přístupu na základě rizik je klíčovým doporučením pro ochranu dat a aplikací před vnitřními hrozbami, neúmyslným únikem dat a exfiltrací dat.

Microsoft 365 poskytuje zabezpečenou platformu pro identifikaci s Microsoft Entra ID, kde se centrálně ukládají a bezpečně spravují identity. Microsoft Entra ID společně s řadou souvisejících bezpečnostních služeb Microsoft 365 tvoří základ pro poskytování přístupu zaměstnanců, který potřebují k bezpečné práci, a zároveň chrání organizaci před hrozbami.

Microsoft Entra vícefaktorové ověřování (MFA) je součástí platformy a poskytuje další vrstvu ochrany, která pomáhá zajistit, aby uživatelé při přístupu k citlivým datům a aplikacím byli tím, za koho říkají, že jsou. Microsoft Entra vícefaktorové ověřování vyžaduje alespoň dvě formy ověřování, například heslo a známé mobilní zařízení. Podporuje několik možností druhého faktorového ověřování, včetně aplikace Microsoft Authenticator, jednorázového hesla doručeného prostřednictvím SMS, přijetí telefonního hovoru, ve kterém musí uživatel zadat PIN, a čipových karet nebo ověřování pomocí certifikátů. V případě ohrožení zabezpečení hesla potřebuje potenciální hacker k získání přístupu k datům organizace telefon uživatele. Microsoft 365 navíc jako klíčový protokol používá moderní ověřování, které přináší stejné silné ověřování z webových prohlížečů do nástrojů pro spolupráci, včetně Microsoft Outlooku a aplikací Microsoft Office.

Microsoft Entra podmíněný přístup poskytuje robustní řešení pro automatizaci rozhodování o řízení přístupu a vynucování zásad pro ochranu prostředků společnosti. Běžným příkladem je, když se zaměstnanec pokusí o přístup k aplikaci obsahující citlivá zákaznická data a musí automaticky provést vícefaktorové ověřování. Podmíněný přístup Azure spojuje signály z žádosti uživatele o přístup (například vlastnosti o uživateli, jeho zařízení, umístění, síti a aplikaci nebo úložišti, ke kterým se pokouší získat přístup). Dynamicky vyhodnocuje každý pokus o přístup k aplikaci podle zásad, které nakonfigurujete. Pokud je riziko uživatele nebo zařízení zvýšené nebo pokud nejsou splněné jiné podmínky, Microsoft Entra ID automaticky vynucuje zásady (například dynamické vyžadování vícefaktorového ověřování, omezení nebo dokonce blokování přístupu). Tento návrh pomáhá zajistit ochranu citlivých prostředků v dynamicky se měnících prostředích.

Microsoft Defender pro Office 365 poskytuje integrovanou službu, která chrání organizace před škodlivými odkazy a malwarem doručeným prostřednictvím e-mailu. Jedním z nejběžnějších vektorů útoku, které dnes ovlivňují uživatele, jsou e-mailové útoky phishing. Tyto útoky mohou být pečlivě zacíleny na konkrétní vysoce profilované zaměstnance a mohou být vytvořené tak, aby byly velmi přesvědčivé. Obvykle obsahují určité výzvy k akci, které vyžadují, aby uživatel vybral škodlivý odkaz nebo otevřel přílohu s malwarem. Jakmile se útočník nakazí, může ukrást přihlašovací údaje uživatele a přesunout se laterálně po celé organizaci. Můžou také exfiltrovat e-maily a data, která hledají citlivé informace. Microsoft Defender pro Office 365 vyhodnocuje odkazy při kliknutí na potenciálně škodlivé weby a blokuje je. Email přílohy se před doručením do poštovní schránky uživatele otevřou v chráněném sandboxu.

Microsoft Defender for Cloud Apps poskytuje organizacím možnost vynucovat zásady na podrobné úrovni. Tento návrh zahrnuje detekci anomálií chování na základě profilů jednotlivých uživatelů, které se automaticky definují pomocí strojového učení. Defender for Cloud Apps staví na zásadách podmíněného přístupu Azure tím, že vyhodnocuje další signály související s chováním uživatelů a vlastnostmi dokumentů, ke které přistupujete. Defender for Cloud Apps postupně pozná typické chování jednotlivých zaměstnanců (data, ke kterým přistupuje, a aplikace, které používají). Na základě naučených vzorců chování můžou zásady automaticky vynucovat bezpečnostní prvky, pokud zaměstnanec přejde mimo tento profil chování. Pokud například zaměstnanec obvykle přistupuje k účetní aplikaci od 9:00 do 17:00 od pondělí do pátku, ale stejný uživatel začne k této aplikaci přistupovat v neděli večer, může Defender for Cloud Apps dynamicky vynutit zásady, které budou vyžadovat opětovné ověření uživatele. Tento požadavek pomáhá zajistit, aby přihlašovací údaje nebyly ohroženy. Kromě toho může Defender for Cloud Apps pomoct zjistit a identifikovat stínové IT v organizaci. Tato funkce pomáhá týmům InfoSec zajistit, aby zaměstnanci při práci s citlivými daty používali schválené nástroje. Defender for Cloud Apps navíc dokáže chránit citlivá data kdekoli v cloudu, a to i mimo platformu Microsoft 365. Umožňuje organizacím schvalovat (nebo zrušit schválení) konkrétních externích cloudových aplikací a řídit přístup a monitorovat, když uživatelé v těchto aplikacích pracují.

Microsoft Entra ID a související služby zabezpečení Microsoft 365 poskytují základ, na kterém je možné v organizacích v energetickém průmyslu zavést moderní cloudovou platformu pro spolupráci. Microsoft Entra ID zahrnuje ovládací prvky pro ochranu přístupu k datům a aplikacím. Kromě zajištění silného zabezpečení pomáhají tyto kontrolní mechanismy organizacím plnit povinnosti dodržování právních předpisů.

Microsoft Entra ID a služby Microsoftu 365 a jsou hluboce integrované a poskytují následující důležité funkce:

  • Centrální ukládání a zabezpečená správa identit uživatelů
  • Použití silného ověřovacího protokolu, včetně vícefaktorového ověřování, k ověřování uživatelů v žádostech o přístup
  • Zajištění konzistentního a robustního prostředí ověřování napříč všemi aplikacemi
  • Dynamické ověřování zásad u všech žádostí o přístup a začlenění několika signálů do procesu rozhodování o zásadách (včetně identity, členství uživatelů/skupin, aplikací, zařízení, sítě, umístění a rizikového skóre v reálném čase)
  • Ověřte podrobné zásady na základě chování uživatelů a vlastností souborů a v případě potřeby dynamicky vynucujte další bezpečnostní opatření.
  • Identifikace stínového IT v organizaci a povolení týmům InfoSec schvalovat nebo blokovat cloudové aplikace
  • Monitorování a řízení přístupu ke cloudovým aplikacím microsoftu a jiných společností než Microsoft
  • Proaktivní ochrana před e-mailovými útoky phishing a ransomwarem

Identifikace citlivých dat a prevence ztráty dat

Standardy FedRAMP Moderate Control Set a NERC CIP také zahrnují ochranu informací jako klíčové kontrolní požadavky (CIP-011-2). Tyto požadavky se konkrétně týkají potřeby identifikovat informace související s informacemi o kybernetickém systému BES (Bulk Electric System) a ochranu a bezpečné zpracování těchto informací (včetně jejich ukládání, přepravy a použití). Mezi konkrétní příklady bes Cyber System Information patří bezpečnostní postupy nebo informace o zabezpečení systémů, které jsou nezbytné pro provoz hromadného elektrického systému (BES Cyber Systems, Physical Access Control Systems a Electronic Access Control or monitoring systems), který není veřejně dostupný a může být použit k povolení neoprávněného přístupu nebo neoprávněné distribuce. Stejná potřeba je ale identifikovat a chránit informace o zákaznících, které jsou důležité pro každodenní provoz energetických organizací.

Microsoft 365 umožňuje identifikovat a chránit citlivá data v rámci organizace prostřednictvím kombinace výkonných funkcí, mezi které patří:

  • Microsoft Purview Information Protection pro klasifikaci založenou na uživatelích i automatizovanou klasifikaci citlivých dat

  • Ochrana před únikem informací Microsoft Purview (DLP) pro automatizovanou identifikaci citlivých dat pomocí citlivých datových typů (to znamená regulárních výrazů) a klíčových slov a vynucování zásad

Microsoft Purview Information Protection umožňuje zaměstnancům klasifikovat dokumenty a e-maily pomocí popisků citlivosti. Popisky citlivosti můžou uživatelé ručně použít u dokumentů v aplikacích Microsoft Office a u e-mailů v aplikaci Microsoft Outlook. Popisky citlivosti můžou automaticky používat označení dokumentu, ochranu prostřednictvím šifrování a vynucovat správu přístupových práv. Popisky citlivosti je také možné použít automaticky konfigurací zásad, které používají klíčová slova a citlivé datové typy (čísla platebních karet, čísla sociálního pojištění, čísla identit atd.).

Microsoft také poskytuje vytrénovatelné klasifikátory. Tyto modely strojového učení používají k identifikaci citlivých dat na základě obsahu na rozdíl od prostého porovnávání vzorů nebo prvků v obsahu. Klasifikátor se naučí identifikovat typ obsahu tím, že se podívá na mnoho příkladů obsahu, který se má klasifikovat. Trénování klasifikátoru začíná tím, že mu poskytne příklady obsahu v konkrétní kategorii. Jakmile zpracuje příklady, model se otestuje tím, že mu poskytne kombinaci shodných i nekohodovaných příkladů. Klasifikátor pak předpovídá, jestli daný příklad spadá do kategorie nebo ne. Osoba pak potvrdí výsledky a seřadí pozitivní, negativní, falešně pozitivní a falešně negativní výsledky, aby se zvýšila přesnost predikcí klasifikátoru. Když je natrénovaný klasifikátor publikovaný, zpracuje a automaticky klasifikuje obsah v SharePointu Online, Exchange Online a OneDrivu.

Použití popisků citlivosti na dokumenty a e-maily vloží metadata do objektu, který identifikuje zvolenou citlivost, a tím umožníte, aby citlivost cestovala s daty. V důsledku toho je dokument s popiskem uložený na ploše uživatele nebo v místním systému stále chráněný. Tento návrh umožňuje ostatním řešením Microsoft 365, jako jsou Microsoft Defender for Cloud Apps nebo hraniční síťová zařízení, identifikovat citlivá data a automaticky vynucovat bezpečnostní prvky. Další výhodou popisků citlivosti je vzdělávání zaměstnanců o tom, která data v organizaci jsou považována za citlivá a jak s nimi nakládat.

Ochrana před únikem informací Microsoft Purview (DLP) automaticky identifikuje dokumenty, e-maily a konverzace obsahující citlivá data tím, že v těchto položkách vyhledá citlivé datové typy a pak u těchto objektů vynutí zásady. Zásady se vynucují u dokumentů v rámci SharePointu a OneDrive pro firmy. Zásady se také vynucují, když uživatelé posílají e-maily a v Microsoft Teams v rámci chatových konverzací a konverzací kanálu. Zásady je možné nakonfigurovat tak, aby vyhledávají klíčová slova, citlivé datové typy, popisky uchovávání informací a jestli se data sdílejí v rámci organizace nebo externě. K dispozici jsou ovládací prvky, které organizacím pomůžou vyladit zásady ochrany před únikem informací, aby se lépe vyhnuly falešně pozitivním výsledkům. Když se najdou citlivá data, můžou se uživatelům v aplikacích Microsoftu 365 zobrazovat přizpůsobitelné tipy pro zásady. Tipy pro zásady informují uživatele, že jejich obsah obsahuje citlivá data, a můžou navrhovat nápravné akce. Zásady můžou také uživatelům bránit v přístupu k dokumentům, sdílení dokumentů nebo odesílání e-mailů, které obsahují určité typy citlivých dat. Microsoft 365 podporuje více než 100 integrovaných citlivých datových typů. Organizace můžou nakonfigurovat vlastní citlivé datové typy tak, aby splňovaly jejich zásady.

Zavádění zásad Microsoft Purview Information Protection a ochrany před únikem informací v organizacích vyžaduje pečlivé plánování. Vyžaduje také vzdělávání uživatelů, aby zaměstnanci porozuměli schématu klasifikace dat organizace a citlivým typům dat. Když zaměstnancům poskytnete nástroje a vzdělávací programy, které jim pomůžou identifikovat citlivá data a pochopit, jak s nimi pracovat, jsou součástí řešení pro zmírnění rizik zabezpečení informací.

Řízení dat efektivní správou záznamů

Předpisy vyžadují, aby mnoho organizací spravuje uchovávání klíčových dokumentů organizace podle spravovaného firemního plánu uchovávání informací. Organizace čelí rizikům dodržování právních předpisů, pokud jsou data nedostatečně zachovaná (odstraněna příliš brzy) nebo právní rizika, pokud jsou data nadměrně uchována (uchovávají se příliš dlouho). Efektivní strategie správy záznamů pomáhají zajistit uchovávání dokumentů organizace v souladu s předem určenými dobami uchovávání, které jsou navrženy tak, aby se minimalizovala rizika pro organizaci. Doby uchovávání se předepisují v centrálně spravovaném plánu uchovávání záznamů organizace. Doby uchovávání informací vycházejí z povahy jednotlivých typů dokumentů, požadavků na dodržování právních předpisů pro uchovávání konkrétních typů dat a definovaných zásad organizace.

Přiřazování přesných dob uchovávání záznamů napříč dokumenty organizace může vyžadovat podrobný proces, který přiřazuje dobu uchovávání jedinečně jednotlivým dokumentům. Použití zásad uchovávání záznamů ve velkém měřítku může být náročné z mnoha důvodů. Mezi tyto důvody patří obrovské množství dokumentů v organizacích energetického průmyslu spolu se skutečností, že v mnoha případech mohou být doby uchovávání aktivovány organizačními událostmi (například vypršením platnosti smluv nebo odchodem zaměstnance z organizace).

Microsoft 365 poskytuje funkce pro definování popisků uchovávání informací a zásad pro snadnou implementaci požadavků na správu záznamů. Správce záznamů definuje popisek uchovávání informací, který představuje "typ záznamu" v tradičním plánu uchovávání informací. Popisek uchovávání informací obsahuje nastavení, která definují:

  • Jak dlouho se záznam uchovává po dobu
  • Požadavky na souběžnost nebo co se stane, když vyprší doba uchovávání (odstraňte dokument, spusťte kontrolu dispozice nebo neprovedejte žádnou akci)
  • Co aktivuje začátek období uchovávání (datum vytvoření, datum poslední změny, označené datum nebo událost) a
  • Pokud je dokument nebo e-mail záznamem (to znamená, že se nedá upravit ani odstranit)

Popisky uchovávání informací se pak publikují na weby SharePointu nebo OneDrivu, do poštovních schránek Exchange a Office 365 skupin. Uživatelé pak můžou popisky uchovávání informací použít ručně u dokumentů a e-mailů. Nebo můžou správci záznamů použít pravidla k automatickému použití popisků uchovávání informací. Pravidla automatického použití můžou být založená na klíčových slovech nebo citlivých datech nalezených v dokumentech nebo e-mailech, jako jsou čísla platebních karet, čísla sociálního pojištění nebo jiné identifikovatelné osobní údaje. Pravidla automatického použití mohou být také založená na metadatech Služby SharePoint.

Standardy FedRAMP Moderate Control Set a NERC CIP také zahrnují opětovné použití a likvidaci prostředků jako klíčové kontrolní požadavky (CIP-011-2). Tyto požadavky opět konkrétně řeší informace o kybernetickém systému BES (Bulk Electric System). Jiné právní předpisy však vyžadují, aby organizace v energetickém průmyslu efektivně spravovali a likvidovali záznamy pro mnoho typů informací. Tyto informace zahrnují finanční výkazy, informace o kapitálových projektech, rozpočty, zákaznická data atd. Ve všech případech musí energetické organizace udržovat robustní programy správy záznamů a důkazy související s obhajitelnou dispozicí podnikových záznamů.

U každého popisku uchovávání informací umožňuje Microsoft 365 správcům záznamů určit, jestli se vyžaduje kontrola dispozice. Potom, když se tyto typy záznamů objeví k dispozici, po uplynutí doby uchovávání, musí před odstraněním obsahu provést kontrolu určenými revidujícími dispozicemi. Jakmile je kontrola dispozice schválena, bude pokračovat odstranění obsahu. Důkaz o odstranění (uživatel, který odstranění provedl, a datum a čas, kdy k odstranění došlo) se však stále uchovává po několik let jako certifikát o zničení. Pokud organizace vyžadují delší nebo trvalé uchovávání certifikátů pro zničení, můžou k dlouhodobému cloudovému ukládání dat protokolů a auditů použít Službu Microsoft Sentinel. Microsoft Sentinel poskytuje organizacím úplnou kontrolu nad dlouhodobým ukládáním a uchováváním dat aktivit, dat protokolů a dat uchovávání a dispozice.

Dodržování předpisů FERC a FTC pro energetické trhy

Americká federální energetická regulační komise (FERC) dohlíží na předpisy týkající se trhů s energií a obchodování na trzích s elektrickou energií a zemním plynem. Americká federální obchodní komise (FTC) dohlíží na podobné předpisy na trhu s ropou. V obou případech tyto regulační orgány stanoví pravidla a pokyny k zákazu manipulace s trhy s energií. FERC například doporučuje, aby energetické organizace investovaly do technologických prostředků pro sledování obchodování, komunikace obchodníků a dodržování interních kontrol. Regulační orgány také doporučují, aby energetické organizace pravidelně vyhodnocovaly průběžnou efektivitu programu dodržování předpisů.

Řešení pro monitorování komunikace jsou tradičně nákladná a jejich konfigurace a správa může být složitá. Organizace také můžou čelit problémům s monitorováním mnoha různých komunikačních kanálů, které jsou zaměstnancům k dispozici. Microsoft 365 nabízí několik integrovaných robustních funkcí pro monitorování komunikace zaměstnanců, dohled nad aktivitami zaměstnanců a pomoc při dodržování předpisů FERC pro trhy s energií.

Implementace kontroly dohledu

Microsoft 365 umožňuje organizacím konfigurovat zásady dohledu, které zachytávají komunikaci zaměstnanců (na základě nakonfigurovaných podmínek) a umožňují jejich kontrolu určenými nadřízenými. Zásady dohledu můžou zaznamenávat interní/externí e-maily a přílohy, komunikaci v chatech a kanálech Microsoft Teams, Skype pro firmy online chatovací komunikaci a přílohy a komunikaci prostřednictvím služeb třetích stran (například Facebook nebo Dropbox).

Komplexní povaha komunikace, která může být zaznamenána a kontrolována v rámci organizace, a rozsáhlé podmínky, s nimiž je možné zásady konfigurovat, umožňují microsoftu 365 Zásady dohledu pomáhat organizacím dodržovat předpisy na energetickém trhu FERC. Zásady dohledu je možné nakonfigurovat tak, aby kontrolovaly komunikaci jednotlivců nebo skupin. Kromě toho je možné nakonfigurovat osoby nebo skupiny nadřízených. Komplexní podmínky je možné nakonfigurovat tak, aby zachycovaly komunikaci na základě příchozích nebo odchozích zpráv, domén, popisků uchovávání informací, klíčových slov nebo frází, slovníků klíčových slov, citlivých datových typů, příloh, velikosti zprávy nebo velikosti příloh. Revidující mají k dispozici řídicí panel, kde můžou kontrolovat komunikaci s příznakem, reagovat na komunikaci, která potenciálně porušuje zásady, nebo označit položky s příznakem jako vyřešené. Můžou také zkontrolovat výsledky předchozích recenzí a položek, které byly vyřešeny.

Microsoft 365 poskytuje sestavy, které umožňují audit aktivit kontroly zásad dohledu na základě zásad a kontrolora. Dostupné sestavy lze použít k ověření, že zásady dohledu fungují tak, jak jsou definovány zásadami psaného dohledu organizace. Sestavy je také možné použít k identifikaci komunikace, která vyžaduje kontrolu, včetně komunikace, která nevyhovuje podnikovým zásadám. Nakonec se všechny aktivity související s konfigurací zásad dohledu a kontrolou komunikace auditují v Office 365 sjednoceného protokolu auditu.

Zásady dohledu Microsoftu 365 umožňují organizacím monitorovat komunikaci z hlediska dodržování firemních zásad, jako je například porušování lidských zdrojů a urážlivé výrazy ve firemní komunikaci. Umožňuje také organizacím snížit riziko monitorováním komunikace, když organizace procházejí citlivými organizačními změnami, jako jsou fúze a akvizice nebo změny vedení.

Dodržování předpisů při komunikaci

Díky mnoha komunikačním kanálům, které mají zaměstnanci k dispozici, organizace stále častěji vyžadují efektivní řešení pro detekci a prošetřování komunikace v regulovaných odvětvích, jako jsou trhy obchodování s energiemi. K těmto výzvám může patřit rostoucí počet komunikačních kanálů a objemu zpráv a riziko možných pokut za porušení zásad.

Dodržování předpisů při komunikaci Microsoft Purview je řešení dodržování předpisů, které pomáhá minimalizovat komunikační rizika tím, že vám pomáhá zjišťovat, prošetřovat a řešit nevhodné zprávy ve vaší organizaci. Předdefinované a vlastní zásady umožňují kontrolovat shody zásad v interní a externí komunikaci, aby je mohli prozkoumat určení revidující. Revidující můžou prošetřit naskenované e-maily, Microsoft Teams, Viva Engage nebo komunikaci třetích stran ve vaší organizaci a provést příslušná opatření, aby se ujistili, že jsou v souladu se standardy zpráv vaší organizace.

Dodržování předpisů pro komunikaci pomáhá týmům pro dodržování předpisů efektivně a efektivně kontrolovat zprávy o potenciálních porušeních:

  • podnikové zásady, jako je přijatelné používání, etické standardy a zásady specifické pro podniky
  • citlivosti nebo citlivé obchodní informace, jako je neoprávněná komunikace o citlivých projektech, jako jsou nadcházející akvizice, fúze, zveřejnění příjmů, reorganizace nebo změny vedení týmu
  • požadavky na dodržování právních předpisů, jako jsou komunikace zaměstnanců týkající se typů podniků nebo transakcí, ve kterých organizace dodržuje předpisy FERC pro trhy s energií

Dodržování předpisů pro komunikaci poskytuje integrované klasifikátory hrozeb, obtěžování a vulgárních výrazů, které pomáhají omezit falešně pozitivní výsledky při kontrole komunikace. Tato klasifikace šetří kontrolorům čas během procesu šetření a nápravy. Pomáhá revidujícím soustředit se na konkrétní zprávy v dlouhých vláknech, které jsou zvýrazněné upozorněními zásad. Tento výsledek pomáhá týmům pro dodržování předpisů rychleji identifikovat a napravit rizika. Poskytuje týmům pro dodržování předpisů možnost snadno konfigurovat a vyladit zásady, přizpůsobit řešení konkrétním potřebám organizace a snížit počet falešně pozitivních výsledků. Dodržování předpisů při komunikaci může také pomoct identifikovat potenciálně rizikové chování uživatelů v průběhu času a zvýraznit potenciální vzory v rizikovém chování nebo porušení zásad. A konečně poskytuje flexibilní integrované pracovní postupy nápravy. Tyto pracovní postupy pomáhají revidujícím rychle přijmout opatření k eskalaci právním nebo personálním týmům podle definovaných podnikových procesů.

Ochrana před exfiltrací dat a insiderským rizikem

Běžnou hrozbou pro podniky je exfiltrace dat nebo extrahování dat z organizace. Tato akce může být pro energetické organizace významnou problémem vzhledem k citlivé povaze informací, ke kterým mohou přistupovat zaměstnanci nebo pracovníci služeb v terénu. Tato data zahrnují jak informace o systému BES (Bulk Electric System), tak informace o obchodních a zákaznických datech. S rostoucími dostupnými metodami komunikace a mnoha nástroji pro přesun dat se obvykle vyžadují pokročilé nástroje ke zmírnění rizik úniku dat, porušení zásad a insiderského rizika.

Správa insiderských rizik

Když zaměstnancům povolíte nástroje pro online spolupráci, které můžou být přístupné kdekoli, znamená to pro organizaci riziko. Zaměstnanci můžou neúmyslně nebo úmyslně unikat data útočníkům nebo konkurentům. Případně mohou data exfiltrovat pro osobní použití nebo si je vzít s sebou k budoucímu zaměstnavateli. Tyto scénáře představují pro organizace vážná rizika z hlediska zabezpečení a dodržování předpisů. Identifikace těchto rizik, když k nim dojde, a jejich rychlé zmírnění vyžaduje inteligentní nástroje pro shromažďování dat a spolupráci napříč odděleními, jako jsou právní oddělení, lidské zdroje a zabezpečení informací.

Správa insiderských rizik Microsoft Purview je řešení dodržování předpisů, které pomáhá minimalizovat interní rizika tím, že umožňuje detekovat, prošetřovat a reagovat na škodlivé a neúmyslné aktivity ve vaší organizaci. Zásady insiderských rizik umožňují definovat typy rizik, které se mají ve vaší organizaci identifikovat a detekovat, včetně řešení případů a eskalace případů do Microsoft eDiscovery (Premium) v případě potřeby. Analytici rizik ve vaší organizaci můžou rychle přijmout vhodná opatření, která zajistí, aby uživatelé dodržovali standardy dodržování předpisů vaší organizace.

Například správa insiderských rizik může korelovat signály ze zařízení uživatele (například kopírování souborů na USB disk nebo odeslání e-mailu s osobním e-mailovým účtem) s aktivitami z online služby (jako je Office 365 e-mail, SharePoint Online, Microsoft Teams OneDrive pro firmy) a identifikovat vzory exfiltrace dat. Může také tyto aktivity korelovat se zaměstnanci opouštějící organizaci, což je běžný vzorec chování související s exfiltrací dat. Dokáže detekovat několik potenciálně rizikových aktivit a chování v průběhu času. Když se objeví běžné vzory, může to vyvolat výstrahy a pomoct vyšetřovatelům zaměřit se na klíčové aktivity a ověřit porušení zásad s vysokou mírou spolehlivosti. Řízení insiderských rizik může také obfuskat data od vyšetřovatelů, aby bylo možné splnit předpisy na ochranu osobních údajů, a přitom stále zobrazovat klíčové aktivity, které jim pomáhají efektivně provádět šetření. Jakmile je tato akce připravená, umožňuje vyšetřovatelům zabalit a bezpečně posílat data o klíčových aktivitách do lidských zdrojů a právních oddělení podle běžných pracovních postupů eskalace pro vyvolání případů pro nápravu.

Řízení insiderských rizik představuje významný nárůst možností Microsoftu 365 pro detekci a prošetřování insiderských rizik a zároveň umožňuje organizacím stále splňovat předpisy o ochraně osobních údajů a sledovat zavedené cesty eskalace, když případy vyžadují akci na vyšší úrovni.

Závěr

Microsoft 365 poskytuje integrované a komplexní řešení, které umožňuje snadno použitelnou cloudovou spolupráci v rámci celého podniku pomocí Microsoft Teams. Microsoft Teams také umožňuje lepší komunikaci a spolupráci s pracovníky služeb v terénu a pomáhá tak energetickým organizacím, aby byly efektivnější a efektivnější. Lepší spolupráce v rámci podniku a se zaměstnanci v terénu může v konečném důsledku pomoci energetickým organizacím lépe sloužit zákazníkům.

Organizace v odvětví energetiky musí dodržovat přísné předpisy týkající se způsobu ukládání, zabezpečení, správy a uchovávání informací souvisejících s jejich provozem a zákazníky. Musí také dodržovat předpisy týkající se toho, jak monitorují a brání manipulaci s trhy s energií. Microsoft 365 poskytuje robustní bezpečnostní prvky pro ochranu dat, identit, zařízení a aplikací před riziky a dodržování přísných předpisů energetického průmyslu. K dispozici jsou integrované nástroje, které pomáhají energetickým organizacím vyhodnocovat dodržování předpisů a provádět akce a sledovat nápravné aktivity v průběhu času. Tyto nástroje také poskytují snadno použitelné metody pro monitorování a dohled nad komunikací. Platforma Microsoft 365 je postavená na základních komponentách, jako je Microsoft Azure a Microsoft Entra ID, pomáhá zabezpečit celkovou platformu a pomáhá organizaci splňovat požadavky na dodržování předpisů pro kontrolní sady FedRAMP Moderate a High. Tento návrh zase přispívá ke schopnosti energetické organizace splňovat standardy NERC CIP.

Microsoft 365 celkově pomáhá energetickým organizacím lépe chránit organizaci, mít robustnější programy dodržování předpisů a umožnit zaměstnancům soustředit se na získání lepších přehledů a implementaci strategií pro lepší snížení rizika.