前情回顾·美国关基行业安全大跃进

安全内参3月8日消息,作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。

美国环境保护署(EPA,以下简称环保署)梳理了公共供水系统官员在饮用水保护方面应当采取的步骤,并要求在供水系统的“卫生检查”中强制纳入网络安全评估。

在上周五(3月3日)发布的这些要求前,环保署进行了历时数月的安全调查工作。调查结果显示,虽然许多公共供水系统(PWS)都制定了网络安全计划,但仍有相当一部分系统没有。

环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道,包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁,但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。

Fox指出,“如今,公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配,面临着等同甚至高于物理形式攻击的网络风险水平。”

“因此需要强调,各州必须在卫生检查期间对供水系统的装置及运行状况进行评估,这将有助于降低供水系统被成功攻击的可能性,并在发生网络事件时提高设施的恢复能力。”

拼凑而成的供水体系

这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性,导致网络安全标准的制定面临挑战。

根据美国参议院共和党政策委员会去年发布的一份报告,全美约有15.3万个公共饮用水系统,为80%的美国人口提供饮用水资源。

安全软件厂商Tripwire在2022年9月一份报告中表示,美国许多供水系统“规模很小,服务于低密度社区且运营预算有限。供水设施覆盖范围的分散,再加上低预算和专业技术知识不足,意味着其中大量系统已经陈旧过时且缺乏维护。”

令人头疼的不只是供水系统的数量。环保署的Fox表示,过去二十年间,公共供水管理者越来越依赖电子工具来操作其供水系统,但这些电子系统现在极易受到网络攻击影响。

供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出,该行业应当从培训到教育、再到评估和工具,将网络安全视为重中之重。

曾发生过安全事件

2021年,堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控,涉嫌远程访问并试图关闭供水系统。

同年,未知人员远程访问了佛罗里达州奥兹马尔的供水系统,并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。

目前,环保署正在敦促所有公共供水系统,要求建立起针对此类攻击的保护措施。

负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出,“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到,环保署提出的方案预设了灵活空间,供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。

命令已经下达

根据环保署的要求,如果公共供水系统在运营当中使用了工业控制系统(ICS)等运营技术,那么作为大规模卫生检查的一部分,评估工作必须涵盖对实践和控制等运营技术的网络安全保护。

如果在网络安全保护中发现“重大缺陷”,例如设计/运营缺陷,水处理、贮存或分配系统故障等,则所在州必须保证公共供水系统解决它。

环保署也为部分组织提供更灵活的回旋空间,具体取决于之前实施的计划,包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。

环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等,为公共供水系统提供培训、技术援助和财务支持。

在拜登政府的领导下,网络安全和基础设施安全局(CISA)及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平,包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。

这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的,此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后,全球肉类加工公司JBS Foods也遭遇复杂网络攻击,美国、加拿大及澳大利亚的多处设施受到影响。

参考资料:https://www.theregister.com/2023/03/06/epa_security_public_water/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。