前情回顧·美國關基行業(yè)安全大躍進

安全內(nèi)參3月8日消息,作為美國白宮保護國家關鍵基礎設施免受民族國家攻擊及其他網(wǎng)絡威脅侵擾的總體舉措之一,聯(lián)邦政府開始要求各州評估其飲用水系統(tǒng)的網(wǎng)絡安全能力。

美國環(huán)境保護署(EPA,以下簡稱環(huán)保署)梳理了公共供水系統(tǒng)官員在飲用水保護方面應當采取的步驟,并要求在供水系統(tǒng)的“衛(wèi)生檢查”中強制納入網(wǎng)絡安全評估。

在上周五(3月3日)發(fā)布的這些要求前,環(huán)保署進行了歷時數(shù)月的安全調(diào)查工作。調(diào)查結(jié)果顯示,雖然許多公共供水系統(tǒng)(PWS)都制定了網(wǎng)絡安全計劃,但仍有相當一部分系統(tǒng)沒有。

環(huán)保署負責水資源的助理署長Radhika Fox在一份備忘錄中寫道,包括公共供水系統(tǒng)在內(nèi)的美國關鍵基礎設施面臨日益增長的攻擊威脅,但表現(xiàn)并不理想。這份備忘錄名為《在衛(wèi)生檢查或類似過程中解決公共供水系統(tǒng)網(wǎng)絡安全問題》。

Fox指出,“如今,公共供水系統(tǒng)經(jīng)常成為惡意網(wǎng)絡活動的目標。安全飲用水的處理和分配,面臨著等同甚至高于物理形式攻擊的網(wǎng)絡風險水平?!?

“因此需要強調(diào),各州必須在衛(wèi)生檢查期間對供水系統(tǒng)的裝置及運行狀況進行評估,這將有助于降低供水系統(tǒng)被成功攻擊的可能性,并在發(fā)生網(wǎng)絡事件時提高設施的恢復能力。”

拼湊而成的供水體系

這項調(diào)查凸顯出美國飲用水供應環(huán)境“東拼西湊”的特性。也正是這一特性,導致網(wǎng)絡安全標準的制定面臨挑戰(zhàn)。

根據(jù)美國參議院共和黨政策委員會去年發(fā)布的一份報告,全美約有15.3萬個公共飲用水系統(tǒng),為80%的美國人口提供飲用水資源。

安全軟件廠商Tripwire在2022年9月一份報告中表示,美國許多供水系統(tǒng)“規(guī)模很小,服務于低密度社區(qū)且運營預算有限。供水設施覆蓋范圍的分散,再加上低預算和專業(yè)技術知識不足,意味著其中大量系統(tǒng)已經(jīng)陳舊過時且缺乏維護?!?

令人頭疼的不只是供水系統(tǒng)的數(shù)量。環(huán)保署的Fox表示,過去二十年間,公共供水管理者越來越依賴電子工具來操作其供水系統(tǒng),但這些電子系統(tǒng)現(xiàn)在極易受到網(wǎng)絡攻擊影響。

供水與廢水系統(tǒng)行業(yè)的重要組織水業(yè)協(xié)調(diào)委員會曾在2021年的報告中指出,該行業(yè)應當從培訓到教育、再到評估和工具,將網(wǎng)絡安全視為重中之重。

曾發(fā)生過安全事件

2021年,堪薩斯州埃爾斯沃思Post Rock農(nóng)村水區(qū)的一名前雇員面臨指控,涉嫌遠程訪問并試圖關閉供水系統(tǒng)。

同年,未知人員遠程訪問了佛羅里達州奧茲馬爾的供水系統(tǒng),并試圖將氫氧化鈉含量提高到正常量的100倍以上來毒化水質(zhì)。

目前,環(huán)保署正在敦促所有公共供水系統(tǒng),要求建立起針對此類攻擊的保護措施。

負責網(wǎng)絡與新興技術的副國家安全顧問Anne Neuberger在備忘錄中指出,“美國人民應該對自己的供水系統(tǒng)在網(wǎng)絡攻擊下的恢復能力充滿信心?!彼€提到,環(huán)保署提出的方案預設了靈活空間,供水系統(tǒng)管理員可以通過細節(jié)調(diào)整在保持安全供應的同時符合自身實際。

命令已經(jīng)下達

根據(jù)環(huán)保署的要求,如果公共供水系統(tǒng)在運營當中使用了工業(yè)控制系統(tǒng)(ICS)等運營技術,那么作為大規(guī)模衛(wèi)生檢查的一部分,評估工作必須涵蓋對實踐和控制等運營技術的網(wǎng)絡安全保護。

如果在網(wǎng)絡安全保護中發(fā)現(xiàn)“重大缺陷”,例如設計/運營缺陷,水處理、貯存或分配系統(tǒng)故障等,則所在州必須保證公共供水系統(tǒng)解決它。

環(huán)保署也為部分組織提供更靈活的回旋空間,具體取決于之前實施的計劃,包括允許供水系統(tǒng)運營商對其系統(tǒng)開展自我評估、由第三方負責評估或者由各州進行評估。

環(huán)保署還提出通過飲用水州循環(huán)基金和大中型飲用水系統(tǒng)基礎設施恢復力與可持續(xù)性計劃等,為公共供水系統(tǒng)提供培訓、技術援助和財務支持。

在拜登政府的領導下,網(wǎng)絡安全和基礎設施安全局(CISA)及其他政府實體一直在努力加強16個關鍵基礎設施領域的網(wǎng)絡安全水平,包括化工、石油、電力、天然氣和水資源等。這是白宮于2021年啟動的工業(yè)控制系統(tǒng)網(wǎng)絡安全計劃的一部分。

這項計劃是在此前親俄黑客團伙DarkSide對科洛尼爾管道運輸公司發(fā)動勒索軟件攻擊后制定的,此次攻擊導致美國東海岸多個主要市場的燃油供應發(fā)生中斷。不久后,全球肉類加工公司JBS Foods也遭遇復雜網(wǎng)絡攻擊,美國、加拿大及澳大利亞的多處設施受到影響。

參考資料:theregister.com

聲明:本文來自安全內(nèi)參,版權(quán)歸作者所有。