美國環境保護署(EPA)周一(5月20日)警告說,全美範圍內針對自來水公司的網絡攻擊正變得越來越頻繁、越來越嚴重。環保署發布了執法警報,敦促供水系統立即採取行動,保護美國的飲用水。
資料照片:美國環境保護署大樓的標牌。
該機構表示,去年聯邦官員檢查的公用事業公司中約有70%違反了旨在防止系統被突破或其他入侵的標準。官員們敦促說,即使是小型供水系統也要加強防範黑客攻擊的措施。俄羅斯和伊朗附屬組織最近發起的網絡攻擊把目標對準了較小社區。
環保署的警報稱,一些供水系統在基本方面存在缺陷,包括未能更改默認密碼或切斷前員工的系統訪問權限。美國環保署表示,由於水務公司通常依靠計算機軟體來操作處理廠和配水系統,因此保護資訊技術和過程控制至關重要。
環保署表示,網絡攻擊可能造成的影響包括水處理和儲存中斷、泵和閥門受損以及化學物質含量被更改到危險水平。
副署長珍妮特·麥凱布(Janet McCabe)說:「在許多情況下,系統沒有做它們應該做的事情,即完成對薄弱點的風險評估,包括網絡安全,並確保有可供使用並告知他們如何開展業務的計劃。」
私人團體或個人試圖進入供水商網絡並摧毀或破壞網站的行為並不新鮮。然而最近攻擊者不僅把目標針對網站,還針對公用事業公司的營運。
最近的攻擊事件的發起者不僅僅是私人實體。最近發生的一些針對供水公司的黑客攻擊與地緣政治競爭對手有關,並可能會導致家庭和企業安全用水的供應中斷。
麥凱布提到了中國、俄羅斯和伊朗,將它們列為「積極尋求使美國關鍵基礎設施癱瘓的國家,包括水和廢水處理設施」。
去年末,一個與伊朗有關的名為「Cyber Av3ngers」的團體把多個組織,包括賓夕法尼亞州一個小鎮的供水商當作攻擊目標,迫使其從遠程泵切換為手動操作。在以色列發起了打擊哈馬斯的戰爭後,該公用事業公司使用的一個以色列製造的設備成為該團伙的攻擊目標。
今年早些時候,一名與俄羅斯有關聯的「黑客活動分子」試圖打斷德克薩斯州幾家公用事業公司的營運。
美國官員表示,一個與中國有關聯、名為「伏特颱風」(Volt Typhoon)的網絡組織已經使美國及其領地上多個關鍵基礎設施系統的資訊技術受到侵害,其中包括飲用水。網絡安全專家認為,這個與中國結盟的團體正在進入攻擊位置,為發生武裝衝突或地緣政治緊張局勢加劇時可能發動的網絡襲擊做準備。
「通過與這些黑客活動團體在幕後共事,現在這些(國家)有了合理推諉,他們可以讓這些團體進行破壞性的攻擊。在我看來,這改變了遊戲規則,」風險管理公司Dragos Inc.的網絡安全專家道恩·卡佩利(Dawn Cappelli)說。
世界網絡大國據信多年來一直在滲透競爭對手的關鍵基礎設施,植入可能被觸發打斷基本服務的惡意軟體。
這項執法警報意在強調網絡威脅的嚴重性,並告知公用事業公司,美國環保署將繼續進行檢查,如果發現嚴重問題,將尋求民事或刑事處罰。
麥凱布說:「我們希望確保向人們傳達這樣的信息:『嘿,我們在此間發現了很多問題,』」
防止針對供水商的攻擊是拜登政府打擊關鍵基礎設施所受威脅的更廣泛努力的一部分。今年2月,總統喬·拜登(Joe Biden)簽署了保護美國港口的行政命令。醫療保健系統遭到過攻擊。白宮還敦促電力公司加強防禦。美國環保署署長麥可·里甘(Michael Regan)和白宮國家安全顧問傑克·沙利文(Jake Sullivan)已請求各州制定一項計劃,打擊對飲用水系統的網絡攻擊。
里甘和沙利文在3月18日致所有50名美國州長的信中寫道:「飲用水和廢水處理系統是網絡攻擊的一個誘人目標,因為它們是生命線一般的關鍵基礎設施部門,卻往往缺乏資源和能力來採納嚴格的網絡安全實踐。」
麥凱布說,有些解決措施很簡單明了。例如,供水商不應使用默認密碼。他們需要制定處理網絡安全問題的風險評估計劃並建立備份系統。美國環保署表示,他們將免費培訓需要幫助的自來水公司。較大的公用事業公司通常擁有更多的資源和專業知識來防禦攻擊。
州飲用水管理人員協會(Association of State Drinking Water Administrators)執行董事艾倫·羅伯森(Alan Roberson)表示:「在理想的世界中......我們希望人人擁有網絡安全的基線水平,而且能夠確認他們擁有這一水平。」「但那還有很長的路要走。」
有些障礙是基礎性的。在美國,水務領域高度分散。大約有5萬個社區供水商,其中多數為小城鎮服務。許多地方人員配備有限,預算少得可憐,維持基本業務——提供清潔水和跟上最新法規——就已經步履維艱了。
「當然,網絡安全是其中一部分,但從來都不是他們的主要專長。而如今你要求水務公司開發這個全新的部門」來處理網絡威脅,德克薩斯理工大學(Texas Tech University)的水務專家艾米·哈德伯格(Amy Hardberger)說。
環保署遭遇過挫折。各州定期審查供水商的績效。2023年3月,環保署指示各州把網絡安全評估加入到這些審查當中。如果他們發現問題,該州應強制改進。
然而,密蘇里州、阿肯色州和愛荷華州與美國水務協會(American Water Works Association)和另一個水務業界團體聯手在法庭上對聯邦當局的這一指示提出挑戰,理由是按照《安全飲用水法》(Safe Drinking Water Act),美國環保署並沒有這樣的權力。在法庭受挫後,美國環保署撤回了這項要求,但敦促各州無論如何都要採取自願行動。
《安全飲用水法》要求某些供水商針對某些威脅制定計劃並認證他們已經做到。但它的權力是有限的。
「那項法律中沒有(網絡安全)授權,」羅伯森說。
美國水務協會聯邦關係事務經理凱文·莫利(Kevin Morley)表示,一些水務公司擁有連接到網際網路的組件,這是一個常見但嚴重的薄弱點。整修這些系統可能是一項重要且成本高昂的工作。如果沒有大量的聯邦資金,供水系統很難找到資源。
這家業界組織為公用事業公司發布了指南,並呼籲建立一個由網絡安全和水務專家組成的新組織,該組織將與美國環保署合作制定並執行新政策。
莫利說:「讓我們以合理方式讓每個人都參與進來。」他還提到,小型和大型公用事業公司有著不同的需求和資源。
(本文依據了美聯社的報導。)
