美國正在採取措施,更好地保護公共飲用水和下水道系統免受可能會導致中斷服務或污染水務系統的網絡攻擊。
資料照片:密西根州本頓港的一名行人穿過靠近該市水塔的街道。(2021年10月22日)
美國環境保護署(EPA)周五(3月3日)發布了一份新備忘錄,命令所有公共供水系統滿足一系列基本的網絡安全要求,同時還將網絡安全審計作為定期安全檢查的一部分。
「我們知道美國人依賴這些關鍵服務,我們知道美國人希望它們能夠抵禦網絡攻擊,」白宮副國家安全顧問安妮·紐伯格(Anne Neuberger)在備忘錄發布前告訴記者。
「在美國和世界各國,水系統都曾遭到過網絡攻擊,所以這是一個非常及時的行動,」她補充說。
就在推出公共供水系統新網絡安全要求的前一天,白宮公布了一項新的、積極的國家網絡戰略(National Cyber Strategy),該戰略旨在將網絡安全的大部分責任從個人和消費者轉移到科技和軟體公司,部分情況下是通過更嚴格的聯邦監管。
「我們需要改變遊戲的內在規則,以使我們獲得優勢,」代理國家網絡總監肯巴·瓦爾登(Kemba Walden)周四在華盛頓的一個公開場合說。「我希望網絡安全成為一場不對等的戰鬥。」
根據美國網絡安全和基礎設施安全局(CISA)的數據,美國大約有15.3萬個公共飲用水系統,為超過80%的美國人口提供用水。
另有16000個公有系統為約75%的美國人口提供廢水處理服務。
但是,美國官員警告說,儘管美國人嚴重依賴這些系統,但是網絡安全卻一直很薄弱。一些調查發現,只有約20%的公有供水系統實施了基本的網絡安全措施,使水務部門面臨網絡攻擊的「風險」。
「這不是假設,」美國環境保護署助理署長萊德西卡·福克斯(Radhika Fox)告訴記者。
「這是正在發生的事情,」她說。「我們已經看到,從加利福尼亞州到佛羅里達州、堪薩斯州、緬因州和內華達州等多地發生過此類攻擊。」
美國網絡安全和基礎設施安全局提供的數據顯示,在2019年至2021年初之間,美國公共水務系統至少遭到過五次網絡攻擊。
其中四次攻擊涉及使用勒索軟體,在其中一起事件中,廢水處理中心被迫切換到手動操作,直到恢復對計算機系統的控制為止。
在第五個案例中,一名前雇員試圖污染供水系統,但未成功,他是使用了仍然有效的身份憑證進入了系統。
在2021年2月的另一起事件中,黑客進入了佛羅里達州坦帕附近為大約15000人提供服務的水務系統,並試圖在供水中添加危險數量的鹼液;不過官員們表示,在造成任何人受傷害之前,這一企圖就被發現並被停止了。
美國國家安全和情報官員也一再警告說,包括水務在內的關鍵部門可能會受到美國對手的網絡攻擊。
白宮國家安全顧問傑克·沙利文(Jake Sullivan)在北溪管道之一遭到破壞後於2022年9月表示:「我們必須擔心俄羅斯採取行動的可能性,警惕俄羅斯對西方基礎設施和西方設施的侵略。」
在2022年的《全球威脅評估》(Worldwide Threat Assessment)中,美國情報界進一步警告說,中國可能會尋求利用困擾美國關鍵基礎設施的網絡安全漏洞。
報告稱:「中國幾乎肯定有能力發動網絡攻擊,去破壞美國境內的關鍵基礎設施服務,包括針對石油和天然氣管道與鐵路系統。」
美國國土安全部於2021年10月對鐵路和航空運輸實施了更高的網絡安全要求。去年7月,美國推出了針對管道所有者和營運商的新的網絡安全要求。
