在美国水务基础设施易受网络攻击威胁的情况日益严峻的环境下,制定网络安全法规的时机已经到来。
最近,美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、环保局(EPA)和国家安全局(NSA)发布了一份联合咨询报告,详细说明了已知和未知威胁因素对美国水务基础设施的操作技术(OT)和信息技术(IT)系统的持续威胁。虽然还不清楚谁是这些威胁的幕后黑手,也不清楚他们针对这些系统的意图,但有一点是明确的:普通美国家庭很容易受到供水和废水系统中断的影响。
供水和废水IT和OT系统的中断可能是灾难性的。正如Colonial 管道网络攻击事件以及针对医院和学校的一连串网络攻击所证明的那样,威胁行为者越来越多地瞄准关键基础设施,试图破坏这些服务,或者至少在美国公民中灌输一种恐惧,即他们的政府无法提供基本服务。
尽管国际社会已就适当行为和网络空间规范进行了大量讨论(例如确认武装冲突法的适用性),但低准入门槛和分布式能力意味着不遵守国际法规的非国家行为者可以利用网络领域实现其财务目标。此外,由于网络安全中国家行为者与非国家行为者之间的界限越来越模糊,日益复杂的技术也可以很容易地被犯罪分子获得。
威胁愈发严峻
针对Colonial 管道公司的网络攻击事件使勒索软件威胁成为广大公众和政策制定者关注的焦点,并可能最终被视为打击以社会基础为目标的大规模网络犯罪活动的一个转折点。针对关键基础设施(包括水资源和废水资源)的勒索软件攻击并不新鲜。时至今日,马里兰州巴尔的摩仍然受到 2019 年 RobbinHood 勒索软件攻击的影响。根据巴尔的摩当地媒体最近的一份报告,市政府官员将其供水基础设施的运营和维护问题归咎于“2019年勒索软件对巴尔的摩市的攻击和新冠疫情的影响”。 勒索软件并不是对供水系统的唯一威胁。2021年2月,佛罗里达州皮内拉斯县发生了一件令人震惊的工业网络安全事故——一名黑客侵入了人口约15000人的小城奥兹马(Oldsmar)的水处理系统,将该市的氢氧化钠供应水平从百万分之100提高到了百万分之11100。
与工厂或石油管道等许多关键基础设施组织一样,饮用水和废水处理公司面临着极高的网络威胁风险。虽然电子邮件仍是攻击的常见初始感染载体,但勒索软件威胁行为者已经开始利用远程服务、网络设备和外部网络设备中的漏洞来获得对目标系统的初始访问权。尽管许多被威胁行为者利用的漏洞都有补丁可用,但要修复这些漏洞并全面改善网络安全状况,需要大量时间、人力和资金。许多关键的基础设施组织,包括那些负责供水系统分配和安全的组织,都存在严重技术短板。也就是说,他们的计算机和其他资产通常依赖于过时的软件和固件,且由于功能限制或财务限制而无法升级。此外,许多组织规模很小,人力资源不足,一些组织可能会严重依赖第三方供应商或城市工作人员进行安全操作。
安全漏洞
水务部门认识到了自身问题。根据水务部门协调委员会(WSCC)发布的《2021年行业网络安全状况报告》,公用事业公司最关心的问题是网络安全培训和教育、技术援助、评估和工具、威胁信息共享,以及联邦财政支持。对于服务超过10万客户的大型公用事业公司来说,最大的挑战是“在公用事业内部创建网络安全文化”。
解决这些问题需要时间和金钱。这就是为什么像《州和地方网络安全改善法案》这样的法案对于为各州和市政府提供资金以加强关键服务的网络安全至关重要。此外,有必要通过立法要求企业报告网络攻击(如2021年的《网络事件报告法案》),以便对攻击进行跟踪和评估,从而更好地了解攻击者、攻击方式以及威胁的演变。解决这些结构性问题的责任不应落在单个企业身上,而应由整个行业采取整体措施。这就是为什么联邦政府必须介入。
例如,电力行业的监管机构可成为水务行业的效仿对象。在北美,大容量电力系统需要遵守称为“关键基础设施保护” (CIP)可靠性标准的网络安全规则和法规,且由北美电力可靠性委员会(NERC)和联邦能源监管委员会(FERC) 监督。十多年来,网络安全法规要求电力实体满足漏洞管理、网络监控和访问限制、信息共享以及事件检测和响应等方面的基本要求。
水务部门还可以从集体防御的概念中受益。工业关键基础设施部门会将其威胁检测和安全监控程序的输出共享到一个匿名的共享数据集中,以便所有部门获得有关正在进行的活动以及观察到的工具、技术和程序的最新信息。
建议总结
美国2018年水务基础设施法案要求就网络攻击对水务运营的影响进行评估,但没有指导公用事业公司解决评估期间发现的问题。2021年早些时候,参议院通过的两党水基础设施法案包括了一些通过财政支持来解决网络安全问题和努力,但尚未建立全面改善网络安全的路线图。
一个解决方案可能是从CIP框架中汲取灵感,并将网络安全规则纳入已经存在的监管框架:环境保护署(EPA)卫生调查。EPA是水务和废水处理公司的监管机构,要求社区和非社区水务系统进行定期审查,以确保公共水系统的安全性和可用性。
专业人士建议在多个关键方面进行监管:维持一个弹性控制系统,其中压力和处理功能可以在网络中断时手动运行;结合端点检测和监控等保护技术;建立有效和稳健的检测和响应计划。水信息共享与分析中心 (ISAC)发布了一份所有供水和污水处理设施应该遵循的网络安全基本原则清单,该清单可能会编入法规要求。
监管机构还应该更加关注常见网络攻击行为的细节。限制远程访问和外部访问服务;要求对所有IT和OT资产的员工和供应商进行严格的访问控制;立即取消对离职员工的访问权限等措施,都可以显著降低受到勒索软件入侵或内部威胁等攻击的风险。 关键基础设施领域的网络安全最佳实践是存在的,但我们必须对它们进行标准化和授权,特别是在供水和污水处理行业,并确保各州和市政府有资源来实施最佳实践。水务系统极易受到攻击,生活在受影响社区的人们可能会遭受重大损失,我们不能等到灾难性事件发生后才采取行动。
[1] 英文题目:It’s Time to Regulate Water and Wastewater Cybersecurity–Here’s How,发表时间:2021年11月,作者:Selena Larson Lauren Zabierek,https://www.belfercenter.org/publication/its-time-regulate-water-and-wastewater-cybersecurity-heres-how
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/17310.html
