前情回顧·美國(guó)關(guān)基行業(yè)安全大躍進(jìn)

安全內(nèi)參3月8日消息,作為美國(guó)白宮保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施免受民族國(guó)家攻擊及其他網(wǎng)絡(luò)威脅侵?jǐn)_的總體舉措之一,聯(lián)邦政府開始要求各州評(píng)估其飲用水系統(tǒng)的網(wǎng)絡(luò)安全能力。

美國(guó)環(huán)境保護(hù)署(EPA,以下簡(jiǎn)稱環(huán)保署)梳理了公共供水系統(tǒng)官員在飲用水保護(hù)方面應(yīng)當(dāng)采取的步驟,并要求在供水系統(tǒng)的“衛(wèi)生檢查”中強(qiáng)制納入網(wǎng)絡(luò)安全評(píng)估。

在上周五(3月3日)發(fā)布的這些要求前,環(huán)保署進(jìn)行了歷時(shí)數(shù)月的安全調(diào)查工作。調(diào)查結(jié)果顯示,雖然許多公共供水系統(tǒng)(PWS)都制定了網(wǎng)絡(luò)安全計(jì)劃,但仍有相當(dāng)一部分系統(tǒng)沒有。

環(huán)保署負(fù)責(zé)水資源的助理署長(zhǎng)Radhika Fox在一份備忘錄中寫道,包括公共供水系統(tǒng)在內(nèi)的美國(guó)關(guān)鍵基礎(chǔ)設(shè)施面臨日益增長(zhǎng)的攻擊威脅,但表現(xiàn)并不理想。這份備忘錄名為《在衛(wèi)生檢查或類似過程中解決公共供水系統(tǒng)網(wǎng)絡(luò)安全問題》。

Fox指出,“如今,公共供水系統(tǒng)經(jīng)常成為惡意網(wǎng)絡(luò)活動(dòng)的目標(biāo)。安全飲用水的處理和分配,面臨著等同甚至高于物理形式攻擊的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平?!?

“因此需要強(qiáng)調(diào),各州必須在衛(wèi)生檢查期間對(duì)供水系統(tǒng)的裝置及運(yùn)行狀況進(jìn)行評(píng)估,這將有助于降低供水系統(tǒng)被成功攻擊的可能性,并在發(fā)生網(wǎng)絡(luò)事件時(shí)提高設(shè)施的恢復(fù)能力?!?

拼湊而成的供水體系

這項(xiàng)調(diào)查凸顯出美國(guó)飲用水供應(yīng)環(huán)境“東拼西湊”的特性。也正是這一特性,導(dǎo)致網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定面臨挑戰(zhàn)。

根據(jù)美國(guó)參議院共和黨政策委員會(huì)去年發(fā)布的一份報(bào)告,全美約有15.3萬(wàn)個(gè)公共飲用水系統(tǒng),為80%的美國(guó)人口提供飲用水資源。

安全軟件廠商Tripwire在2022年9月一份報(bào)告中表示,美國(guó)許多供水系統(tǒng)“規(guī)模很小,服務(wù)于低密度社區(qū)且運(yùn)營(yíng)預(yù)算有限。供水設(shè)施覆蓋范圍的分散,再加上低預(yù)算和專業(yè)技術(shù)知識(shí)不足,意味著其中大量系統(tǒng)已經(jīng)陳舊過時(shí)且缺乏維護(hù)?!?

令人頭疼的不只是供水系統(tǒng)的數(shù)量。環(huán)保署的Fox表示,過去二十年間,公共供水管理者越來(lái)越依賴電子工具來(lái)操作其供水系統(tǒng),但這些電子系統(tǒng)現(xiàn)在極易受到網(wǎng)絡(luò)攻擊影響。

供水與廢水系統(tǒng)行業(yè)的重要組織水業(yè)協(xié)調(diào)委員會(huì)曾在2021年的報(bào)告中指出,該行業(yè)應(yīng)當(dāng)從培訓(xùn)到教育、再到評(píng)估和工具,將網(wǎng)絡(luò)安全視為重中之重。

曾發(fā)生過安全事件

2021年,堪薩斯州埃爾斯沃思Post Rock農(nóng)村水區(qū)的一名前雇員面臨指控,涉嫌遠(yuǎn)程訪問并試圖關(guān)閉供水系統(tǒng)。

同年,未知人員遠(yuǎn)程訪問了佛羅里達(dá)州奧茲馬爾的供水系統(tǒng),并試圖將氫氧化鈉含量提高到正常量的100倍以上來(lái)毒化水質(zhì)。

目前,環(huán)保署正在敦促所有公共供水系統(tǒng),要求建立起針對(duì)此類攻擊的保護(hù)措施。

負(fù)責(zé)網(wǎng)絡(luò)與新興技術(shù)的副國(guó)家安全顧問Anne Neuberger在備忘錄中指出,“美國(guó)人民應(yīng)該對(duì)自己的供水系統(tǒng)在網(wǎng)絡(luò)攻擊下的恢復(fù)能力充滿信心?!彼€提到,環(huán)保署提出的方案預(yù)設(shè)了靈活空間,供水系統(tǒng)管理員可以通過細(xì)節(jié)調(diào)整在保持安全供應(yīng)的同時(shí)符合自身實(shí)際。

命令已經(jīng)下達(dá)

根據(jù)環(huán)保署的要求,如果公共供水系統(tǒng)在運(yùn)營(yíng)當(dāng)中使用了工業(yè)控制系統(tǒng)(ICS)等運(yùn)營(yíng)技術(shù),那么作為大規(guī)模衛(wèi)生檢查的一部分,評(píng)估工作必須涵蓋對(duì)實(shí)踐和控制等運(yùn)營(yíng)技術(shù)的網(wǎng)絡(luò)安全保護(hù)。

如果在網(wǎng)絡(luò)安全保護(hù)中發(fā)現(xiàn)“重大缺陷”,例如設(shè)計(jì)/運(yùn)營(yíng)缺陷,水處理、貯存或分配系統(tǒng)故障等,則所在州必須保證公共供水系統(tǒng)解決它。

環(huán)保署也為部分組織提供更靈活的回旋空間,具體取決于之前實(shí)施的計(jì)劃,包括允許供水系統(tǒng)運(yùn)營(yíng)商對(duì)其系統(tǒng)開展自我評(píng)估、由第三方負(fù)責(zé)評(píng)估或者由各州進(jìn)行評(píng)估。

環(huán)保署還提出通過飲用水州循環(huán)基金和大中型飲用水系統(tǒng)基礎(chǔ)設(shè)施恢復(fù)力與可持續(xù)性計(jì)劃等,為公共供水系統(tǒng)提供培訓(xùn)、技術(shù)援助和財(cái)務(wù)支持。

在拜登政府的領(lǐng)導(dǎo)下,網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)及其他政府實(shí)體一直在努力加強(qiáng)16個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全水平,包括化工、石油、電力、天然氣和水資源等。這是白宮于2021年啟動(dòng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全計(jì)劃的一部分。

這項(xiàng)計(jì)劃是在此前親俄黑客團(tuán)伙DarkSide對(duì)科洛尼爾管道運(yùn)輸公司發(fā)動(dòng)勒索軟件攻擊后制定的,此次攻擊導(dǎo)致美國(guó)東海岸多個(gè)主要市場(chǎng)的燃油供應(yīng)發(fā)生中斷。不久后,全球肉類加工公司JBS Foods也遭遇復(fù)雜網(wǎng)絡(luò)攻擊,美國(guó)、加拿大及澳大利亞的多處設(shè)施受到影響。

參考資料:theregister.com

聲明:本文來(lái)自安全內(nèi)參,版權(quán)歸作者所有。