Viktige hensyn til forskriftssamsvar og sikkerhet for energibransjen

Innledning

Energibransjen gir samfunnet drivstoff og kritisk infrastruktur som folk stoler på hver dag. For å sikre påliteligheten til infrastruktur relatert til massekraftsystemer, innfører regulatoriske myndigheter strenge standarder for energiindustriorganisasjoner. Disse regulatoriske standardene er ikke bare knyttet til generering og overføring av kraft, men også til data og kommunikasjon som er avgjørende for den daglige driften av energiselskaper.

Organisasjoner i energibransjen arbeider med og utveksler mange typer informasjon som en del av sin vanlige drift. Denne informasjonen omfatter kundedata, dokumentasjon for utforming av kapitalteknikk, ressursplasseringskart, prosjektstyringsartefakter, ytelsesmåledata, felttjenesterapporter, miljødata og ytelsesmåledata. Ettersom disse organisasjonene ser ut til å forvandle sine drifts- og samarbeidssystemer til moderne digitale plattformer, ser de til Microsoft som en pålitelig leverandør av skytjenester (CSP) og Microsoft 365 som sin beste samarbeidsplattform. Siden Microsoft 365 er bygd på Microsoft Azure-plattformen, bør organisasjoner undersøke begge plattformene når de vurderer samsvars- og sikkerhetskontrollene når de flytter til skyen.

I Nord-Amerika håndhever Nord-Amerika Electric Reliability Corporation (NERC) pålitelighetsstandarder som kalles CIP-standarder (NERC Critical Infrastructure Protection). NERC er underlagt tilsyn av US Federal Energy Regulatory Commission (FERC) og statlige myndigheter i Canada. Alle eiere, operatorer og brukere av massekraftsystemet må registrere seg hos NERC og må overholde NERC CIP-standarder. Skytjenesteleverandører og tredjepartsleverandører som Microsoft er ikke underlagt NERC CIP-standarder. CIP-standardene inkluderer imidlertid mål som bør vurderes når registrerte enheter bruker leverandører i driften av bulkelektrisk system (BES). Microsoft-kunder som opererer Bulk Electric Systems er helt ansvarlige for å sikre sin egen overholdelse av NERC CIP-standarder.

Hvis du vil ha informasjon om Microsoft-skytjenester og NERC, kan du se følgende ressurser:

• NERC CIP-standarder og databehandling i skyen
• Veiledning for skyimplementering for NERC-revisjoner

Regulatoriske standarder som anbefales for vurdering av energiorganisasjoner inkluderer FedRAMP (US Federal Risk and Authorization Management Program) som er basert på og forsterker NIST SP 800-53 Rev 4-standarden (National Institute of Standards and Technology).

• Microsoft Office 365 og Office 365 amerikanske regjeringen har hver fått en FedRAMP ATO (autorisasjon til å operere) på moderat effektnivå.
• Azure og Azure Government har hver fått en FedRAMP High P-ATO (midlertidig autorisasjon til drift), som representerer det høyeste nivået av FedRAMP-autorisasjon.

Hvis du vil ha informasjon om Microsoft-skytjenester og FedRAMP, kan du se følgende ressurser:

• Oversikt over Microsoft FedRAMP
• Office 365 FedRAMP-rapporter

Disse prestasjonene er viktige for energiindustrien fordi en sammenligning mellom FedRAMP Moderate kontrollsett og NERC CIP-krav viser at FedRAMP Moderate kontroller omfatter alle NERC CIP-kravene. For mer informasjon utviklet Microsoft en skyimplementeringsveiledning for NERC-revisjoner som inkluderer en kontrolltilordning mellom gjeldende sett med NERC CIP-standarder og FedRAMP Moderat kontroll angitt som dokumentert i NIST 800-53 Rev 4.

Ettersom energibransjen ser ut til å modernisere samarbeidsplattformene sine, er det nødvendig med nøye vurdering for konfigurasjon og distribusjon av samarbeidsverktøy og sikkerhetskontroller, inkludert:

• Vurdering av vanlige samarbeidsscenarioer
• Tilgang til data som kreves av ansatte for å være produktive
• Krav til forskriftssamsvar
• Tilknyttede risikoer for data, kunder og organisasjonen

Microsoft 365 er et moderne skymiljø på arbeidsplassen. Det gir sikkert og fleksibelt samarbeid på tvers av virksomheten, inkludert kontroller og policyhåndhevelse for å følge de strengeste forskriftsmessige samsvarsrammeverkene. Gjennom følgende artikler utforsker denne artikkelen hvordan Microsoft 365 hjelper energibransjen med å gå over til en moderne samarbeidsplattform, samtidig som den bidrar til å holde data og systemer både sikre og kompatible med forskrifter:

• Tilby en omfattende samarbeidsplattform med Microsoft Teams
• Gi sikkert og kompatibelt samarbeid i energibransjen
• Identifiser sensitive data og forhindre tap av data
• Styre data ved effektivt å behandle poster
• I samsvar med FERC- og FTC-forskrifter for energimarkeder
• Beskytt mot dataeksfiltrering og Insider-risiko

Som Microsoft-partner bidro Protiviti til og ga vesentlig tilbakemelding til denne artikkelen.

Tilby en omfattende samarbeidsplattform med Microsoft Teams

Samarbeid krever vanligvis flere former for kommunikasjon, muligheten til å lagre og få tilgang til dokumenter, og muligheten til å integrere andre programmer etter behov. Enten de er globale virksomheter eller lokale selskaper, trenger ansatte i energisektoren vanligvis å samarbeide og kommunisere med medlemmer av andre avdelinger eller på tvers av team. De trenger også ofte å kommunisere med eksterne partnere, leverandører eller klienter. Derfor anbefales det vanligvis ikke å bruke systemer som lager siloer eller gjør det vanskelig å dele informasjon. Når det er sagt, ønsker vi fortsatt å sikre at ansatte deler informasjon sikkert og i henhold til retningslinjene.

Ved å gi ansatte en moderne og skybasert samarbeidsplattform som gjør det mulig for dem å velge og enkelt integrere verktøyene som gjør dem mest produktive, kan de finne de beste måtene å arbeide og samarbeide på. Bruk av Microsoft Teams, sammen med sikkerhetskontroller og styringspolicyer for å beskytte organisasjonen, kan hjelpe arbeidsstyrken din med å samarbeide enkelt i skyen.

Microsoft Teams tilbyr en samarbeidshub for organisasjonen din for å bringe personer sammen for å arbeide og samarbeide på vanlige initiativer eller prosjekter. Det gjør det mulig for gruppemedlemmer å gjennomføre samtaler, samarbeide og redigere dokumenter samtidig. Det gjør det mulig for personer å lagre og dele filer med gruppemedlemmer eller personer utenfor teamet. Det gjør det også mulig for dem å holde direktesendte møter med integrert virksomhetsstemme og -video. Microsoft Teams kan tilpasses med enkel tilgang til Microsoft-apper som Planner, Dynamics 365, Power BI og andre tredjeparts bransjeprogrammer. Teams forenkler tilgangen til Office 365 tjenester og tredjepartsapper for å sentralisere samarbeids- og kommunikasjonsbehov for organisasjonen.

Alle Microsoft-team støttes av en Office 365-gruppe. En Office 365-gruppe regnes som medlemsleverandøren for Office 365 tjenester, inkludert Microsoft Teams. Office 365 grupper brukes til å kontrollere hvilke brukere som regnes som medlemmer, og hvilke som er eiere av gruppen. Med denne utformingen kan vi enkelt kontrollere hvilke brukere som har tilgang til forskjellige funksjoner i Teams. Som et resultat av dette kan gruppemedlemmer og eiere bare få tilgang til funksjonene de har tillatelse til å bruke.

Et vanlig scenario der Microsoft Teams kan dra nytte av energiorganisasjoner, er å samarbeide med entreprenører eller eksterne firmaer som en del av et felttjenesteprogram, for eksempel vegetasjonsstyring. Entreprenører er vanligvis engasjert for å håndtere vegetasjon eller fjerne trær rundt strømsysteminstallasjoner. De trenger ofte å motta arbeidsinstruksjoner, kommunisere med sentraler og annet felttjenestepersonell, ta og dele bilder av eksterne omgivelser, logge av når arbeidet er fullført og dele data tilbake med hovedkontoret. Disse programmene kjøres tradisjonelt ved hjelp av telefon, tekst, ordrer for papirarbeid eller egendefinerte programmer. Denne metoden kan by på mange utfordringer. Eksempel:

• Prosesser er manuelle eller analoge, noe som gjør måledata vanskelig å spore
• Kommunikasjon er ikke alle fanget på ett sted
• Data er siloed og ikke nødvendigvis delt med alle ansatte som trenger det
• Arbeid utføres kanskje ikke konsekvent eller effektivt
• Egendefinerte programmer er ikke integrert med samarbeidsverktøy, noe som gjør det vanskelig å trekke ut og dele data eller måle ytelse

Microsoft Teams kan tilby et brukervennlig samarbeidsområde for sikker deling av informasjon og gjennomføre samtaler mellom teammedlemmer og eksterne felttjenesteleverandører. Teams kan brukes til å holde møter, foreta taleanrop, lagre og dele arbeidsordrer sentralt, samle inn feltdata, laste opp bilder, integrere med forretningsprosessløsninger (bygget med Power Apps og Power Automate), og integrere bransjespesifikke apper. Denne typen felttjenestedata kan betraktes som lav innvirkning. Effektiviteten kan imidlertid oppnås ved å sentralisere kommunikasjon og få tilgang til data mellom ansatte og felttjenestepersonell i disse scenariene.

Et annet eksempel der Microsoft Teams kan dra nytte av energibransjen, er når felttjenestepersonell arbeider med å gjenopprette tjenesten under et strømbrudd. Feltansatte krever ofte rask tilgang til skjemadata for understasjoner, generering av stasjoner eller blå utskrifter for aktiva i feltet. Disse dataene anses som store konsekvenser og må beskyttes i henhold til NERC CIP-forskrifter. Felttjenestearbeid under avbrudd krever kommunikasjon mellom feltansatte og kontoransatte, og i sin tur med sluttkunder. Sentralisering av kommunikasjon og datadeling i Microsoft Teams gir feltansatte en enkel metode for både å få tilgang til kritiske data og kommunisere informasjon eller status tilbake til hovedkontoret. Microsoft Teams gjør det for eksempel mulig for feltansatte å bli med i telefonkonferanser mens de er på vei til et strømbrudd. Feltpersonalet kan også ta bilder eller video av miljøet og dele dem med hovedkontoret, noe som er spesielt viktig når feltutstyr ikke samsvarer med skjemaer. Data og status som samles inn fra feltet, kan deretter vises for kontoransatte og ledelse gjennom verktøy for datavisualisering, for eksempel Power BI. Til syvende og sist kan Microsoft Teams gjøre feltpersonalet mer effektive og produktive i disse kritiske situasjonene.

Teams: Forbedre samarbeid og redusere samsvarsrisiko

Microsoft 365 tilbyr vanlige policyfunksjoner for Microsoft Teams gjennom bruken av Office 365 Groups som en underliggende leverandør av medlemskap. Disse policyene kan bidra til å forbedre samarbeid og bidra til å dekke samsvarsbehov.

Office 365 policyer for navngivning av grupper bidrar til å sikre at Office 365 grupper, og derfor Microsoft Teams, navngis i henhold til bedriftens retningslinjer. Navnet på et team kan presentere utfordringer hvis det ikke er navngitt på riktig måte. Det kan for eksempel hende at ansatte ikke vet hvilke team de skal arbeide eller dele informasjon i, hvis de har feil navn. Policyer for navngivning av grupper bidrar til å håndheve god hygiene og kan også forhindre bruk av bestemte ord, for eksempel reserverte ord eller upassende terminologi.

Office 365 gruppeutløpspolicyer bidrar til å sikre at Office 365 grupper, og derfor Microsoft Teams, ikke beholdes i lengre perioder enn det som kreves av organisasjonen. Denne funksjonen bidrar til å forhindre to viktige problemer med informasjonsbehandling:

• Spredning av Microsoft Teams som ikke er nødvendig eller brukt
• Overoppbevaring av data som ikke lenger kreves av organisasjonen

Administratorer kan angi en utløpsperiode i dager for Office 365 grupper (for eksempel 90, 180 eller 365 dager). Hvis en tjeneste støttet av en Office 365-gruppe er inaktiv for utløpsperioden, blir gruppeeiere varslet. Hvis ingen handling utføres, slettes Office 365-gruppen og alle relaterte tjenester, inkludert Microsoft Teams.

Overoppbevaring av data i et Microsoft-team kan utgjøre en risiko for søksmål for organisasjoner. Bruk av utløpspolicyer er en anbefalt metode for å beskytte organisasjonen. Kombinert med innebygde oppbevaringsetiketter og policyer bidrar Microsoft 365 til å sikre at organisasjoner bare beholder dataene som kreves for å oppfylle forskriftsmessige samsvarsforpliktelser.

Teams: Integrer egendefinerte krav på en enkel måte

Microsoft Teams muliggjør selvbetjent oppretting av Teams som standard. Mange regulerte organisasjoner ønsker imidlertid å kontrollere og forstå hvilke samarbeidsområder som for øyeblikket er i bruk av ansatte, hvilke områder som inneholder sensitive data, og hvem eierne er av områder i hele organisasjonen. Microsoft 365 gjør det mulig for organisasjoner å deaktivere selvbetjent oppretting av Teams for å forenkle disse kontrollene. Ved hjelp av innebygde automatiseringsverktøy for forretningsprosesser i Microsoft 365, for eksempel Power Apps og Power Automate, kan organisasjoner også bygge enkle prosesser for å be om et nytt team. Når du fullfører et skjema som er enkelt å bruke, kan en godkjenning automatisk bes om av en leder. Når det er godkjent, kan teamet automatisk klargjøres, og anmoderen får tilsendt en kobling til det nye teamet. Ved å bygge slike prosesser kan organisasjoner også integrere egendefinerte krav for å legge til rette for andre forretningsprosesser.

Gi sikkert og kompatibelt samarbeid i energibransjen

Som nevnt, Microsoft Office 365 og Office 365 amerikanske regjeringen har hver oppnådd FedRAMP ATO på moderat innvirkning nivå. Azure og Azure Government har oppnådd en FedRAMP High P-ATO som representerer det høyeste nivået av FedRAMP-autorisasjon. I tillegg omfatter FedRAMP moderat kontrollsett alle NERC CIP-kravene, slik at organisasjoner i energiindustrien ("registrerte enheter") kan utnytte eksisterende FedRAMP-autorisasjoner som en skalerbar og effektiv tilnærming til å håndtere NERC-revisjonskrav. Det er imidlertid viktig å merke seg at FedRAMP ikke er en punkt-i-tid-sertifisering, men et vurderings- og autorisasjonsprogram som inkluderer bestemmelser for kontinuerlig overvåking. Selv om denne bestemmelsen hovedsakelig gjelder for CSP, er Microsoft-kunder som opererer bulkelektriske systemer ansvarlige for å sikre sin egen overholdelse av NERC CIP-standarder. Det er generelt en anbefalt praksis å kontinuerlig overvåke organisasjonens samsvarsstilling for å sikre kontinuerlig overholdelse av forskrifter.

Microsoft tilbyr et viktig verktøy for å hjelpe deg med å overvåke samsvar med forskrifter over tid:

• Microsoft Purview Compliance Manager hjelper organisasjonen med å forstå den nåværende samsvarsstillingen og handlingene den kan utføre for å bidra til å forbedre denne holdningen. Samsvarsbehandling beregner en risikobasert poengsum som måler fremdriften i å fullføre handlinger som bidrar til å redusere risikoen rundt databeskyttelse og forskriftsmessige standarder. Samsvarsbehandling gir en innledende poengsum basert på microsoft 365-grunnlinjen for databeskyttelse. Denne grunnlinjen er et sett med kontroller som inkluderer vanlige bransjeforskrifter og standarder. Selv om denne poengsummen er et godt utgangspunkt, blir Samsvarsbehandling kraftigere når en organisasjon legger til vurderinger som er mer relevante for deres bransje. Samsvarsbehandling støtter en rekke forskriftsmessige standarder som er relevante for NERC CIP-samsvarsforpliktelser, inkludert FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 og AICPA SOC 2. Organisasjoner i energibransjen kan også opprette eller importere egendefinerte kontrollsett om nødvendig.

Arbeidsflytegenskapene som er innebygd i Samsvarsbehandling, gjør det mulig for energiorganisasjoner å transformere og digitalisere sine forskriftsmessige samsvarsprosesser. Tradisjonelt står samsvarsteam i energibransjen overfor følgende utfordringer:

• Inkonsekvent rapportering eller sporing av fremdrift for utbedringshandlinger
• Ineffektive eller ineffektive prosesser
• Utilstrekkelige ressurser eller manglende eierskap
• Mangel på sanntidsinformasjon og menneskelig feil

Ved å automatisere aspekter ved forskriftsmessige samsvarsprosesser gjennom bruk av Samsvarsbehandling, kan organisasjoner redusere den administrative byrden på juridiske funksjoner og samsvarsfunksjoner. Dette verktøyet kan bidra til å løse disse utfordringene ved å gi mer oppdatert informasjon om utbedringshandlinger, mer konsekvent rapportering og dokumentert eierskap av handlinger (knyttet til implementering av handlinger). Organisasjoner kan automatisk spore utbedringshandlinger over tid og se generelle effektivitetsgevinster. Denne funksjonen gjør det mulig for de ansatte å fokusere mer på å få innsikt og utvikle strategier for å hjelpe til med å navigere risiko mer effektivt.

Samsvarsbehandling uttrykker ikke et absolutt mål på organisatorisk samsvar med en bestemt standard eller forskrift. Den uttrykker i hvilken grad du har tatt i bruk kontroller som kan redusere risikoen for personopplysninger og personvern. Anbefalinger fra Samsvarsbehandling bør ikke tolkes som en garanti for samsvar. Kundehandlingene i Samsvarsbehandling er anbefalinger. Det er opp til hver organisasjon å evaluere effektiviteten av disse anbefalingene for å oppfylle sine regulatoriske forpliktelser før implementering. Anbefalinger i Samsvarsbehandling bør ikke tolkes som en garanti for samsvar.

Mange cybersikkerhetsrelaterte kontroller er inkludert i FedRAMP Moderate Control Set og NERC CIP-standarder. Nøkkelkontroller knyttet til Microsoft 365-plattformen inkluderer imidlertid sikkerhetsstyringskontroller (CIP-003-6), konto- og tilgangsadministrasjon/tilgangstilbakekalling (CIP-004-6), elektronisk sikkerhetsperimeter (CIP-005-5), overvåking av sikkerhetshendelser og hendelsesrespons (CIP-008-5). Følgende grunnleggende Microsoft 365-funksjoner bidrar til å håndtere risikoene og kravene som er inkludert i disse artiklene.

Sikre brukeridentiteter og kontrolltilgang

Beskyttelse av tilgang til dokumenter og programmer begynner med å sikre brukeridentiteter på det sterkeste. Som grunnlag krever denne handlingen å tilby en sikker plattform for virksomheten for å lagre og administrere identiteter og gi et klarert godkjenningsmiddel. Det krever også dynamisk kontroll av tilgang til disse programmene. Etter hvert som ansatte arbeider, kan de flytte fra program til program eller på tvers av flere steder og enheter. Derfor må tilgang til data godkjennes i hvert trinn på veien. I tillegg må godkjenningsprosessen støtte en sterk protokoll og flere faktorer for godkjenning (engangs SMS-passkode, godkjennerapp, sertifikat osv.) for å sikre at identiteter ikke har blitt kompromittert. Til slutt er håndheving av risikobaserte tilgangspolicyer en viktig anbefaling for å beskytte data og programmer mot innsidetrusler, utilsiktede datalekkasjer og datautfiltrering.

Microsoft 365 gir en sikker identifiseringsplattform med Microsoft Entra ID der identiteter lagres sentralt og administreres på en sikker måte. Microsoft Entra ID, sammen med en rekke relaterte Microsoft 365-sikkerhetstjenester, danner grunnlaget for å gi ansatte tilgangen de trenger for å arbeide sikkert, samtidig som de beskytter organisasjonen mot trusler.

Microsoft Entra multifaktorautentisering (MFA) er innebygd i plattformen og gir et ekstra lag med beskyttelse for å sikre at brukerne er de de sier de er når de får tilgang til sensitive data og programmer. Microsoft Entra krever godkjenning med flere faktorer minst to former for godkjenning, for eksempel et passord og en kjent mobil enhet. Den støtter flere andre alternativer for godkjenning av faktorer, inkludert: Microsoft Authenticator-appen, et engangspassord levert via SMS, mottak av en telefonsamtale der en bruker må angi en PIN-kode og smartkort eller sertifikatbasert godkjenning. Hvis et passord blir kompromittert, trenger en potensiell hacker fortsatt brukerens telefon for å få tilgang til organisasjonsdata. I tillegg bruker Microsoft 365 moderne godkjenning som en nøkkelprotokoll, noe som gir den samme sterke godkjenningsopplevelsen fra nettlesere til samarbeidsverktøy, inkludert Microsoft Outlook og Microsoft Office-apper.

Microsoft Entra betinget tilgang gir en robust løsning for å automatisere beslutninger om tilgangskontroll og håndheve policyer for å beskytte firmaets ressurser. Et vanlig eksempel er når en ansatt prøver å få tilgang til et program som inneholder sensitive kundedata, og de automatisk kreves for å utføre en godkjenning med flere faktorer. Azure Betinget tilgang samler signaler fra en brukers tilgangsforespørsel (for eksempel egenskaper om brukeren, enheten, plasseringen, nettverket og appen eller repositoriet de prøver å få tilgang til). Den evaluerer hvert forsøk på å få tilgang til programmet dynamisk mot policyer du konfigurerer. Hvis bruker- eller enhetsrisikoen er forhøyet, eller hvis andre betingelser ikke oppfylles, håndhever Microsoft Entra ID automatisk policy (for eksempel dynamisk krav til MFA, begrensning eller til og med blokkering av tilgang). Denne utformingen bidrar til å sikre at sensitive ressurser er beskyttet i dynamisk skiftende miljøer.

Microsoft Defender for Office 365 tilbyr en integrert tjeneste for å beskytte organisasjoner mot skadelige koblinger og skadelig programvare som leveres via e-post. En av de vanligste angrepsvektorene som berører brukere i dag, er e-post-phishing-angrep. Disse angrepene kan være nøye rettet mot bestemte høyprofilerte ansatte og kan utformes for å være svært overbevisende. De inneholder vanligvis noen handlingsoppkall som krever at en bruker velger en skadelig kobling eller åpner et vedlegg med skadelig programvare. Når den er infisert, kan en angriper stjele legitimasjonen til en bruker og flytte seg sidelengs over hele organisasjonen. De kan også eksfiltrere e-postmeldinger og data på jakt etter sensitiv informasjon. Microsoft Defender for Office 365 evaluerer koblinger på klikktidspunktet for potensielt skadelige nettsteder og blokkerer dem. E-postvedlegg åpnes i en beskyttet sandkasse før de leveres til en brukers postboks.

Microsoft Defender for Cloud Apps gir organisasjoner muligheten til å håndheve policyer på et detaljert nivå. Denne utformingen inkluderer identifisering av atferdsavvik basert på individuelle brukerprofiler som defineres automatisk ved hjelp av Machine Learning. Defender for Cloud Apps bygger på Azure-policyer for betinget tilgang ved å evaluere flere signaler relatert til brukeratferd og egenskaper for dokumentene som åpnes. Over tid lærer Defender for Cloud Apps den typiske virkemåten for hver ansatt (dataene de får tilgang til og programmene de bruker). Basert på lærde atferdsmønstre kan policyer automatisk håndheve sikkerhetskontroller hvis en ansatt går utenfor denne atferdsprofilen. Hvis for eksempel en ansatt vanligvis har tilgang til en regnskapsapp fra 09:00 til 17:00, mandag til fredag, men den samme brukeren begynner å få tilgang til programmet tungt på en søndag kveld, kan Defender for Cloud Apps dynamisk håndheve policyer for å kreve at brukeren godkjenner på nytt. Dette kravet bidrar til å sikre at legitimasjonen ikke er kompromittert. Defender for Cloud Apps kan i tillegg hjelpe deg med å oppdage og identifisere Shadow IT i organisasjonen. Denne funksjonen hjelper InfoSec-team med å sikre at ansatte bruker sanksjonerte verktøy når de arbeider med sensitive data. Til slutt kan Defender for Cloud Apps beskytte sensitive data hvor som helst i skyen, selv utenfor Microsoft 365-plattformen. Det gjør det mulig for organisasjoner å sanksjonere (eller oppheve helliggjørelse) spesifikke eksterne skyapper, kontrollere tilgang og overvåking når brukere arbeider i disse programmene.

Microsoft Entra ID, og de relaterte microsoft 365-sikkerhetstjenestene, gir grunnlaget som en moderne plattform for skysamarbeid kan rulles ut til organisasjoner i energibransjen. Microsoft Entra ID inneholder kontroller for å beskytte tilgang til data og programmer. I tillegg til å gi sterk sikkerhet, hjelper disse kontrollene organisasjoner med å oppfylle forskriftsmessige samsvarsforpliktelser.

Microsoft Entra ID og Microsoft 365-tjenester og er dypt integrert og gir følgende viktige funksjoner:

• Lagre og behandle brukeridentiteter sentralt
• Bruk en protokoll for sterk godkjenning, inkludert godkjenning med flere faktorer, til å godkjenne brukere på tilgangsforespørsler
• Gi en konsekvent og robust godkjenningsopplevelse på tvers av alle programmer
• Valider policyer dynamisk på alle tilgangsforespørsler, som omfatter flere signaler i beslutningsprosessen for policyen (inkludert identitet, bruker/gruppemedlemskap, program, enhet, nettverk, plassering og risikopoengsum i sanntid)
• Valider detaljerte policyer basert på brukeratferd og filegenskaper, og fremtving ytterligere sikkerhetstiltak dynamisk når det er nødvendig
• Identifiser skygge-IT i organisasjonen, og tillat InfoSec-team å sanksjonere eller blokkere skyprogrammer
• Overvåk og kontroller tilgang til Microsoft- og ikke-Microsoft-skyprogrammer
• Proaktivt beskytte mot e-post phishing og ransomware angrep

Identifiser sensitive data og forhindre tap av data

FedRAMP Moderate Control Set og NERC CIP-standarder inkluderer også informasjonsbeskyttelse som et viktig kontrollkrav (CIP-011-2). Disse kravene tar spesifikt for seg behovet for å identifisere informasjon relatert til BES (Bulk Electric System) Cyber System Information og beskyttelse og sikker håndtering av denne informasjonen (inkludert lagring, transitt og bruk). Spesifikke eksempler på BES Cyber System Information kan omfatte sikkerhetsprosedyrer eller sikkerhetsinformasjon om systemer som er grunnleggende for drift av det masseelektriske systemet (BES Cyber Systems, Physical Access Control Systems og Electronic Access Control eller overvåkingssystemer) som ikke er offentlig tilgjengelig og kan brukes til å tillate uautorisert tilgang eller uautorisert distribusjon. Det samme behovet finnes imidlertid for å identifisere og beskytte kundeinformasjon som er avgjørende for den daglige driften av energiorganisasjoner.

Microsoft 365 tillater at sensitive data identifiseres og beskyttes i organisasjonen gjennom en kombinasjon av kraftige funksjoner, inkludert:

• Microsoft Purview informasjonsbeskyttelse for både brukerbasert klassifisering og automatisert klassifisering av sensitive data

• Microsoft Purview hindring av datatap (DLP) for automatisert identifisering av sensitive data ved hjelp av sensitive datatyper (det vil si vanlige uttrykk) og nøkkelord og policyhåndhevelse

Microsoft Purview informasjonsbeskyttelse gjør det mulig for ansatte å klassifisere dokumenter og e-postmeldinger med følsomhetsetiketter. Følsomhetsetiketter kan brukes manuelt av brukere på dokumenter i Microsoft Office-appene og på e-postmeldinger i Microsoft Outlook. Følsomhetsetiketter kan automatisk bruke dokumentmerkinger, beskyttelse gjennom kryptering og håndheve rettighetsadministrasjon. Følsomhetsetiketter kan også brukes automatisk ved å konfigurere policyer som bruker nøkkelord og sensitive datatyper (kredittkortnumre, personnumre, identitetsnumre osv.).

Microsoft tilbyr også kalibrerbare klassifierere. Disse bruker maskinlæringsmodeller til å identifisere sensitive data basert på hva innholdet er, i motsetning til bare gjennom mønstersamsvar eller av elementene i innholdet. En klassifier lærer hvordan man identifiserer en type innhold ved å se på mange eksempler på innholdet som skal klassifiseres. Opplæring av en klassifier begynner ved å gi den eksempler på innhold i en bestemt kategori. Når den behandler eksemplene, testes modellen ved å gi den en blanding av både samsvarende og ikke-samsvarende eksempler. Klassifieren forutser deretter om et gitt eksempel faller inn under kategorien eller ikke. En person bekrefter deretter resultatene, sorterer positiver, negativer, falske positiver og falske negativer for å øke nøyaktigheten til klassifierens prognoser. Når den opplærte klassifieren publiseres, behandles og klassifiseres innholdet automatisk i SharePoint Online, Exchange Online og OneDrive.

Bruk av følsomhetsetiketter på dokumenter og e-postmeldinger bygger inn metadata i objektet som identifiserer den valgte følsomheten, slik at følsomheten kan reise med dataene. Selv om et merket dokument er lagret på en brukers skrivebord eller i et lokalt system, er det derfor fortsatt beskyttet. Denne utformingen gjør det mulig for andre Microsoft 365-løsninger, for eksempel Microsoft Defender for Cloud Apps eller enheter med nettverkskanter, å identifisere sensitive data og automatisk håndheve sikkerhetskontroller. Følsomhetsetiketter har den ekstra fordelen av å utdanne ansatte om hvilke data i en organisasjon som anses som sensitive og hvordan de skal håndtere disse dataene.

Microsoft Purview hindring av datatap (DLP) identifiserer automatisk dokumenter, e-postmeldinger og samtaler som inneholder sensitive data ved å skanne disse elementene for sensitive datatyper, og deretter håndheve policyer på disse objektene. Policyer håndheves på dokumenter i SharePoint og OneDrive for Business. Policyer håndheves også når brukere sender e-post og i Microsoft Teams i chat- og kanalsamtaler. Policyer kan konfigureres til å se etter nøkkelord, sensitive datatyper, oppbevaringsetiketter og om data deles i organisasjonen eller eksternt. Kontroller gis for å hjelpe organisasjoner med å finjustere DLP-policyer for bedre å unngå falske positiver. Når sensitive data blir funnet, kan policytips som kan tilpasses, vises for brukere i Microsoft 365-programmer. Policytips informerer brukerne om at innholdet inneholder sensitive data og kan foreslå korrigerende handlinger. Policyer kan også hindre brukere i å få tilgang til dokumenter, dele dokumenter eller sende e-postmeldinger som inneholder visse typer sensitive data. Microsoft 365 støtter over 100 innebygde sensitive datatyper. Organisasjoner kan konfigurere egendefinerte sensitive datatyper for å oppfylle policyene sine.

Utrulling av Microsoft Purview informasjonsbeskyttelse- og DLP-policyer til organisasjoner krever nøye planlegging. Det krever også brukerutdanning slik at ansatte forstår organisasjonens dataklassifiseringsskjema og hvilke typer data som er sensitive. Å gi ansatte verktøy og utdanningsprogrammer som hjelper dem med å identifisere sensitive data og hjelpe dem med å forstå hvordan de skal håndtere dem, gjør dem til en del av løsningen for å redusere sikkerhetsrisikoer for informasjon.

Styre data ved effektivt å behandle poster

Forskrifter krever at mange organisasjoner administrerer oppbevaring av viktige organisasjonsdokumenter i henhold til en administrert tidsplan for bedriftsoppbevaring. Organisasjoner står overfor forskriftsmessige samsvarsrisikoer hvis data beholdes (slettes for tidlig) eller juridiske risikoer hvis dataene beholdes for lenge (beholdes for lenge). Effektive strategier for postbehandling bidrar til å sikre at organisasjonsdokumenter beholdes i henhold til forhåndsbestemte oppbevaringsperioder som er utformet for å minimere risikoen for organisasjonen. Oppbevaringsperioder er foreskrevet i en sentral administrert tidsplan for oppbevaring av organisasjonsoppføringer. Oppbevaringsperioder er basert på dokumenttypene, kravene til forskriftssamsvar for å beholde bestemte typer data og de definerte policyene i organisasjonen.

Tilordning av postoppbevaringsperioder nøyaktig på tvers av organisasjonsdokumenter kan kreve en detaljert prosess som tilordner oppbevaringsperioder unikt til individuelle dokumenter. Det kan være utfordrende å bruke postoppbevaringspolicyer i stor skala av mange årsaker. Disse årsakene inkluderer det store antallet dokumenter innen energiindustriorganisasjoner sammen med det faktum at oppbevaringsperioder i mange tilfeller kan utløses av organisasjonsarrangementer (for eksempel kontrakter som utløper eller en ansatt forlater organisasjonen).

Microsoft 365 har funksjoner for å definere oppbevaringsetiketter og policyer for enkelt å implementere krav til postbehandling. En postbehandling definerer en oppbevaringsetikett, som representerer en «posttype» i en tradisjonell tidsplan for oppbevaring. Oppbevaringsetiketten inneholder innstillinger som definerer:

• Hvor lenge en post beholdes
• Kravene til samtidighet eller hva som skjer når oppbevaringsperioden utløper (slett dokumentet, start en gjennomgang av fjerning eller ingen handling)
• Hva utløser oppbevaringsperioden til å starte (opprettelsesdato, dato for siste endring, merket dato eller en hendelse) og
• Hvis dokumentet eller e-postmeldingen er en post (det vil si at det ikke kan redigeres eller slettes)

Oppbevaringsetiketter publiseres deretter på SharePoint- eller OneDrive-nettsteder, Exchange-postbokser og Office 365 grupper. Brukere kan deretter bruke oppbevaringsetiketter manuelt på dokumenter og e-postmeldinger. Eller postbehandlere kan bruke regler til å bruke oppbevaringsetiketter automatisk. Regler for automatisk bruk kan baseres på nøkkelord eller sensitive data som finnes i dokumenter eller e-postmeldinger, for eksempel kredittkortnumre, personnumre eller annen personlig identifiserbar informasjon (PII). Regler for automatisk bruk kan også baseres på SharePoint-metadata.

FedRAMP Moderate Control Set og NERC CIP-standarder inkluderer også gjenbruk og disponering av aktiva som et viktig kontrollkrav (CIP-011-2). Disse kravene adresserer igjen spesielt BES (Bulk Electric System) Cyber System Information. Andre jurisdiksjonsforskrifter krever imidlertid at organisasjoner i energibransjen administrerer og avhender poster effektivt for mange typer informasjon. Denne informasjonen omfatter regnskap, informasjon om kapitalprosjekter, budsjetter, kundedata osv. I alle tilfeller er energiorganisasjoner pålagt å opprettholde robuste arkivbehandlingsprogrammer og bevis knyttet til defensibel avhending av bedriftsposter.

Med hver oppbevaringsetikett tillater Microsoft 365 postansvarlige å avgjøre om en fjerningsgjennomgang er nødvendig. Når disse oppføringstypene blir fjernet, må en gjennomgang utføres av de angitte korrekturleserne før innholdet slettes etter at oppbevaringsperioden er utløpt. Når fjerningsgjennomgangen er godkjent, fortsetter sletting av innhold. Bevis på slettingen (brukeren som utførte slettingen og datoen/klokkeslettet det oppstod i) beholdes imidlertid fortsatt i flere år som et sertifikat for destruksjon. Hvis organisasjoner krever lengre eller permanent oppbevaring av sertifikater for ødeleggelse, kan de bruke Microsoft Sentinel til langsiktig skybasert lagring av logg- og revisjonsdata. Microsoft Sentinel gir organisasjoner full kontroll over langsiktig lagring og oppbevaring av aktivitetsdata, loggdata og oppbevarings-/fjerningsdata.

I samsvar med FERC- og FTC-forskrifter for energimarkeder

Den amerikanske Federal Energy Regulatory Commission (FERC) fører tilsyn med forskrifter knyttet til energimarkeder og handel for de elektriske energi- og naturgassmarkedene. Den amerikanske Federal Trade Commission (FTC) fører tilsyn med lignende forskrifter i petroleumsmarkedet. I begge tilfeller fastsetter disse tilsynsorganene regler og veiledning for å forby manipulering av energimarkeder. FERC anbefaler for eksempel at energiorganisasjoner investerer i teknologiressurser for å overvåke handel, traderkommunikasjon og overholdelse av interne kontroller. Regulatorer anbefaler også at energiorganisasjoner regelmessig evaluerer den pågående effektiviteten av organisasjonens samsvarsprogram.

Kommunikasjonsovervåkingsløsninger er tradisjonelt kostbare, og de kan være kompliserte å konfigurere og administrere. Organisasjoner kan også oppleve utfordringer med å overvåke de mange, forskjellige kommunikasjonskanalene som er tilgjengelige for ansatte. Microsoft 365 tilbyr flere innebygde robuste funksjoner for overvåking av ansattes kommunikasjon, tilsyn med ansattes aktiviteter og for å overholde FERC-forskrifter for energimarkeder.

Implementer tilsynskontroll

Microsoft 365 gjør det mulig for organisasjoner å konfigurere tilsynspolicyer som fanger opp medarbeiderkommunikasjon (basert på konfigurerte betingelser) og tillater at disse gjennomgås av utpekte overordnede. Retningslinjer for tilsyn kan fange opp intern/ekstern e-post og vedlegg, Microsoft Teams chat- og kanalkommunikasjon, Skype for Business nettbasert chatkommunikasjon og vedlegg, og kommunikasjon gjennom tredjepartstjenester (for eksempel Facebook eller Dropbox).

Den omfattende kommunikasjonen som kan fanges opp og gjennomgås i en organisasjon, og de omfattende betingelsene som policyer kan konfigureres med, gjør det mulig for Microsoft 365-tilsynspolicyer å hjelpe organisasjoner med å overholde kravene i energimarkedet i FERC. Tilsynspolicyer kan konfigureres til å se gjennom kommunikasjon for enkeltpersoner eller grupper. I tillegg kan overordnede konfigureres til å være enkeltpersoner eller grupper. Omfattende betingelser kan konfigureres til å registrere kommunikasjon basert på innkommende eller utgående meldinger, domener, oppbevaringsetiketter, nøkkelord eller uttrykk, nøkkelordordlister, sensitive datatyper, vedlegg, meldingsstørrelse eller vedleggsstørrelse. Korrekturlesere leveres med et instrumentbord der de kan se gjennom flagget kommunikasjon, handle på kommunikasjon som potensielt bryter med policyer, eller merke flaggede elementer som løst. De kan også se gjennom resultatene fra tidligere anmeldelser og elementer som er løst.

Microsoft 365 inneholder rapporter som gjør at gjennomgangsaktiviteter for overvåkingspolicyer kan overvåkes basert på policyen og korrekturleseren. De tilgjengelige rapportene kan brukes til å validere at retningslinjer for tilsyn fungerer som definert av organisasjonenes policyer for skriftlig tilsyn. Rapporter kan også brukes til å identifisere kommunikasjon som krever gjennomgang, inkludert kommunikasjon som ikke samsvarer med bedriftens retningslinjer. Til slutt overvåkes alle aktiviteter knyttet til konfigurering av overvåkingspolicyer og gjennomgang av kommunikasjon i Office 365 enhetlig overvåkingslogg.

Microsoft 365-retningslinjer for tilsyn gjør det mulig for organisasjoner å overvåke kommunikasjon for samsvar med bedriftens retningslinjer, for eksempel brudd på trakassering av personaladministrasjon og støtende språk i bedriftens kommunikasjon. Det gjør det også mulig for organisasjoner å redusere risikoen, ved å overvåke kommunikasjon når organisasjoner gjennomgår sensitive organisatoriske endringer, for eksempel fusjoner og oppkjøp, eller lederendringer.

Kommunikasjonssamsvar

Med mange kommunikasjonskanaler som er tilgjengelige for ansatte, krever organisasjoner i økende grad effektive løsninger for å oppdage og undersøke kommunikasjon i regulerte bransjer som energihandelsmarkeder. Disse utfordringene kan omfatte økende antall kommunikasjonskanaler og meldingsvolum og risikoen for potensielle bøter for brudd på retningslinjene.

Microsoft Purview kommunikasjonssamsvar er en samsvarsløsning som bidrar til å minimere kommunikasjonsrisiko ved å hjelpe deg med å oppdage, undersøke og handle på upassende meldinger i organisasjonen. Forhåndsdefinerte og egendefinerte policyer lar deg skanne intern og ekstern kommunikasjon etter policysamsvar, slik at de kan undersøkes av utpekte korrekturlesere. Korrekturlesere kan undersøke skannet e-post, Microsoft Teams, Viva Engage eller tredjepartskommunikasjon i organisasjonen og iverksette nødvendige tiltak for å sikre at de samsvarer med organisasjonens meldingsstandarder.

Kommunikasjonssamsvar hjelper samsvarsgrupper effektivt og effektivt å se gjennom meldinger for potensielle brudd på:

• firmapolicyer, for eksempel akseptabel bruk, etiske standarder og firmaspesifikke policyer
• følsomhet eller sensitive forretningsavsløringer, for eksempel uautorisert kommunikasjon om sensitive prosjekter som kommende oppkjøp, fusjoner, inntjeningsavsløringer, omorganiseringer eller endringer i lederteamet
• forskriftsmessige samsvarskrav, for eksempel medarbeiderkommunikasjon om typene bedrifter eller transaksjoner der en organisasjon engasjerer seg i samsvar med FERC-forskrifter for energimarkeder

Kommunikasjonssamsvar gir innebygde klassifiere for trussel, trakassering og banning for å bidra til å redusere falske positiver ved gjennomgang av kommunikasjon. Denne klassifiseringen sparer korrekturlesere tid under undersøkelses- og utbedringsprosessen. Det hjelper korrekturlesere med å fokusere på bestemte meldinger i lange tråder som er uthevet av policyvarsler. Dette resultatet bidrar til at samsvarsteam raskere identifiserer og utbedrer risikoer. Den gir samsvarsteam muligheten til enkelt å konfigurere og finjustere policyer, justere løsningen etter organisasjonens spesifikke behov og redusere falske positiver. Kommunikasjon samsvar kan også bidra til å identifisere potensielt risikabel brukeratferd over tid, utheve potensielle mønstre i risikabel atferd eller brudd på policyen. Til slutt gir den fleksible innebygde utbedringsarbeidsflyter. Disse arbeidsflytene hjelper kontrollører med raskt å iverksette tiltak for å eskalere til juridiske team eller personalgrupper i henhold til definerte bedriftsprosesser.

Beskytt mot dataeksfiltrering og insider-risiko

En vanlig trussel mot virksomheter er datautfiltrering eller å trekke ut data fra en organisasjon. Denne handlingen kan være en betydelig bekymring for energiorganisasjoner på grunn av den sensitive karakteren av informasjonen som kan nås av ansatte eller felttjenesteansatte daglig. Disse dataene inkluderer både BES (Bulk Electric System) Cyber System-informasjon samt forretningsrelatert informasjon og kundedata. Med de økende kommunikasjonsmetodene som er tilgjengelige og mange verktøy for å flytte data, er avanserte verktøy vanligvis nødvendig for å redusere risikoen for datalekkasjer, brudd på retningslinjene og innsiderisiko.

Administrasjon av intern risiko

Aktivering av ansatte med nettbaserte samarbeidsverktøy som kan åpnes hvor som helst, medfører risiko for en organisasjon. Ansatte kan utilsiktet eller ondsinnet lekke data til angripere eller konkurrenter. Alternativt kan de eksfiltrere data for personlig bruk eller ta data med seg til en fremtidig arbeidsgiver. Disse scenariene utgjør alvorlige risikoer for organisasjoner fra et sikkerhets- og samsvarssynspunkt. Identifisering av disse risikoene når de oppstår og raskt redusere dem krever både intelligente verktøy for datainnsamling og samarbeid på tvers av avdelinger som juridiske, menneskelige ressurser og informasjonssikkerhet.

Microsoft Purview administrasjon av intern risiko er en samsvarsløsning som bidrar til å minimere interne risikoer ved å gjøre det mulig for deg å oppdage, undersøke og handle på skadelige og utilsiktede aktiviteter i organisasjonen. Med insider-risikopolicyer kan du definere risikotypene for å identifisere og oppdage i organisasjonen, inkludert å handle i saker og eskalerende saker til Microsoft eDiscovery (Premium) om nødvendig. Risikoanalytikere i organisasjonen kan raskt utføre nødvendige tiltak for å sikre at brukerne samsvarer med organisasjonens samsvarsstandarder.

Insider Risk Management kan for eksempel koordinere signaler fra en brukers enheter (for eksempel kopiere filer til en USB-stasjon eller sende e-post til en personlig e-postkonto) med aktiviteter fra onlinetjenester (for eksempel Office 365 e-post, SharePoint Online, Microsoft Teams OneDrive for Business) for å identifisere datautfiltreringsmønstre. Det kan også koordinere disse aktivitetene med ansatte som forlater en organisasjon som er et vanlig atferdsmønster knyttet til dataeksfiltrering. Den kan oppdage flere potensielt risikable aktiviteter og virkemåter over tid. Når vanlige mønstre dukker opp, kan det øke varsler og hjelpe etterforskerne med å fokusere på viktige aktiviteter for å verifisere et brudd på retningslinjene med høy grad av tillit. Insider risk management kan også obfuscate data fra etterforskere for å bidra til å oppfylle personvernforskrifter samtidig som de viser viktige aktiviteter som hjelper dem med effektivt å utføre undersøkelser. Når de er klare, gjør det det mulig for etterforskerne å pakke og sikkert sende viktige aktivitetsdata til personaladministrasjon og juridiske avdelinger etter vanlige eskaleringsarbeidsflyter for å ta opp saker for utbedringstiltak.

Insider Risk Management er en betydelig økning i funksjoner i Microsoft 365 for å oppdage og undersøke insider-risikoer, samtidig som organisasjoner kan oppfylle personvernforskriftene og følge etablerte videresendingsbaner når saker krever handling på høyere nivå.

Konklusjon

Microsoft 365 tilbyr en integrert og omfattende løsning som muliggjør brukervennlig skybasert samarbeid på tvers av virksomheten med Microsoft Teams. Microsoft Teams muliggjør også bedre kommunikasjon og samarbeid med felttjenestepersonell, slik at energiorganisasjoner blir mer effektive og mer effektive. Bedre samarbeid på tvers av virksomheten og med feltansatte kan til syvende og sist hjelpe energiorganisasjoner med å betjene kundene bedre.

Organisasjoner i energibransjen må overholde strenge regler knyttet til hvordan de lagrer, sikrer, administrerer og beholder informasjon knyttet til driften og kundene. De må også overholde forskrifter knyttet til hvordan de overvåker og forhindrer manipulering av energimarkeder. Microsoft 365 tilbyr robuste sikkerhetskontroller for å beskytte data, identiteter, enheter og programmer mot risikoer og overholde strenge bestemmelser i energibransjen. Innebygde verktøy tilbys for å hjelpe energiorganisasjoner med å vurdere overholdelsen, samt iverksette tiltak og spore utbedringsaktiviteter over tid. Disse verktøyene gir også brukervennlige metoder for overvåking og overvåking av kommunikasjon. Microsoft 365-plattformen er bygd på grunnleggende komponenter som Microsoft Azure og Microsoft Entra ID, som bidrar til å sikre den generelle plattformen og hjelpe organisasjonen med å oppfylle samsvarskravene for FedRAMP-moderate og høye kontrollsett. Denne utformingen bidrar igjen til en energiorganisasjons evne til å oppfylle NERC CIP-standarder.

Totalt sett hjelper Microsoft 365 energiorganisasjoner med å beskytte organisasjonen bedre, ha mer robuste samsvarsprogrammer og gjøre det mulig for ansatte å fokusere på å få bedre innsikt og implementere strategier for bedre å redusere risikoen.