电网是美国所有关键基础设施的基础,但电网比数据中心和企业网络安全落后了数年。
据美国白宫两位匿名人士证实,白宫计划启动百日冲刺行动,积极加强美国电网网络安全。但是要转变美国电网打击黑客的能力还需要花费数年时间。
细节表明,该行动计划在政策上等同于走钢丝行为:它试图避免裹足不前的政治羁绊,激励电力公司大幅改变其保护自己免受网络攻击的方式。
拜登政府“行动计划”的核心原则是激励电力公司安装复杂的新型监控设备,以更快地发现黑客,并与美国政府广泛共享这些信息。
美国国家安全委员会起草的六页计划草案显示,它要求电力公司确定关键节点,这些节点如果受到攻击,可能会对整个电网造成巨大影响。
它将扩大能源部的一项部分机密计划,以发现电网组件中可被敌对国家网络攻击者利用的缺陷。
该计划标志着为保护公用事业免受网络攻击而迈出第一步,网络攻击可能使数以百万计的人失去电力、水或天然气。一位知情人士透露,该计划的最终版本最快可能在本周发布。
“这份计划从电网开始是有含义的,”奥巴马政府时期的国务院最高级别网络官员Christopher Painter说,“如果没有电力,金融业、炼油厂、水等一切都会崩溃。电网是美国其他关键基础设施的基础。”
专家说,旨在增强美国电网安全的举措比众所周知的改善数据中心和企业计算机系统安全的努力落后了数年。同时,来自俄罗斯、伊朗和朝鲜的黑客正对美国电力公司发动越来越积极的攻击,希望预先部署恶意软件,可使美国城镇陷入黑暗。
最近得克萨斯州与天气有关的停电,虽然不是网络攻击的结果,但完全表明了潜在的破坏性。在几天断电时间里,人们滞留家中,没有暖气,难以获得饮用水,因手机无法充电而失去通讯。
白宫的计划提出,需要进行广泛的努力,以保护电力公司、市政自来水公司、天然气管道运营商和其他公司使用的高度专业化计算机。
两位熟悉政府想法的人士透露,之所以选择从电力公司开始,是因为它们在与美国政府合作应对安全威胁方面已经拥有良好的记录。其中一位人士说,尽管私营公司通常不愿与政府广泛共享计算机网络数据,但一些电力公司已经将其作为现有试点计划的一部分在实行了。
重金激励
白宫的计划是自愿性的,它提出了一系列可能的激励措施,以激励电力公司签署协议,这会比法律强制要求带来更少政治上的干扰。
例如,农村合作组织等较小的电力公司可以获得政府资助,以支付新的安全设备和软件费用。根据该计划,美国政府将探讨是否可以将这些合作纳入《安全法》,《安全法》为反恐产品和服务提供责任保护,尽管目前尚不清楚电力公司提供的服务是否符合条件。
根据该草案,围绕预算和激励措施的许多细节将在以后通过国家安全委员会和其他机构协调的程序制定出来。
网络安全专家说,公用事业单位的参与决定将取决于这些细节最终如何解决。例如,该计划通过禁止在公用事业部门以外收集或储存 "敏感数据",解决了长期以来对与政府自动分享网络攻击细节的担忧。
但该计划尚未定义什么是敏感数据,它明确了收集的所有数据都必须可以在整个联邦政府之间广泛共享。
该计划还将扩大能源部计划的作用。相关计划对电网设备进行扫描,查找黑客可能用来攻击公用事业的缺陷或隐藏组件。一位知情人士说,这项计划的部分内容被称为CyTRICS(弹性工业控制系统的网络测试),涉及到发现外国情报机构故意削弱美国电网技术的行为。
尽管公用事业过去曾支持过类似的努力,但建立审批的供应商清单会增加设备制造商的成本,需要采取措施提高其产品的安全性。这个提议很可能引起美国和外国制造商的抵制,一位业内人士说。
地盘之争
为了取得成功,该计划将必须克服各种可能导致失败的挑战,包括机构间的地盘之争以及美国情报机构在保护美国关键基础设施方面应该发挥多大作用的问题。
草案指出,电力部门的工作将由能源部领导,而非国土安全部下属的网络安全和基础设施安全局(CISA)。
据美国国土安全部现任和前任官员以及众议院国土安全委员会的助手称,这可能引起人们对CISA失去现有权力并将该计划完全转给能源部的担忧。国土安全委员会在3月批准了一项两党法案(H.R. 1833),以巩固CISA在保护美国工业控制系统方面的领导作用。
“如果不让CISA负责所有的事情,我们将承担的风险是信息无法到达所需的位置。” Suzanne Spaulding说。她曾领导奥巴马政府时期的国家保护和计划局(即CISA的前身),目前在战略与国际研究中心工作。
白宫发言人在一封电子邮件中说:“这项举措是私营部门与政府机构(包括CISA和能源部)之间的合作伙伴关系。美国能源部将与CISA和其他合作伙伴协调,在其当前角色和职权范围内采取行动。”
随着最近白宫计划草案悄悄分发给官员,国土安全部部长Alejandro Mayorkas在3月底的一次政策演讲中,重申了CISA的主要作用。在赞扬了政府的网络安全计划后,他补充说:“正如一些人所说,政府的网络安全团队需要一个起主导作用的四分卫,CISA就是那个四分卫。”
参考来源:彭博社
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。