美國環境保護署(EPA)20日發布警報,警告全國水資源系統正面臨日益頻繁且嚴重的網絡攻擊,呼籲各地水務系統立即採取行動,保護美國的飲用水安全。更令人擔憂的是,中國、俄羅斯和伊朗等國,正積極發展網絡攻擊能力,試圖癱瘓美國的重要基礎設施,包括水資源系統。
據美聯社報導,美國環境保護署表示,過去一年接受聯邦官員檢查的水資源系統中,約有70%違反了防止網絡入侵的標準。官員敦促,即使是小型水務系統,也要加強防護措施。最近,來自俄羅斯和伊朗相關組織的網絡攻擊,特別針對小型社區,顯示出網絡攻擊的威脅已無所不在。
EPA副署長珍妮特·麥凱比(Janet McCabe)指出,許多水資源系統在基本安全措施上存在不足,例如未更改預設密碼,或未切斷前員工的系統訪問權限。由於水資源系統的運作通常依賴電腦軟體來控制處理廠和配水系統,因此保護資訊技術和流程控制至關重要。
網絡攻擊可能造成嚴重的後果,例如水處理和儲存中斷、泵和閥門損壞,以及化學物質含量被調整到危險水平。過去,黑客攻擊主要針對網站,但近年來,攻擊者開始直接鎖定水資源系統的運作。麥凱比指出,中國、俄羅斯和伊朗正在積極尋求癱瘓美國重要基礎設施的能力,包括水資源系統。
例如,去年底,一個與伊朗有關的組織「網絡復仇者」(Cyber Av3ngers)攻擊了賓州一個小鎮的水資源系統,迫使其從遠程操作轉為手動操作。今年稍早,一個與俄羅斯有關的黑客組織也試圖破壞德州數個水資源系統的運作。
此外,美國官員指出,中國政府支持的黑客組織「伏特颱風」(Volt Typhoon)也入侵了美國境內多個關鍵基礎設施系統,包括飲用水系統。網絡安全專家認為,這些組織正在為可能的武裝衝突或地緣政治緊張局勢做準備。
為了應對日益嚴重的網絡威脅,EPA強調將持續檢查水資源系統,並追究違規者的責任。自2020年以來,EPA已針對風險評估和應急處置發布了近100項執法行動。拜登政府也致力於保護基礎設施免受網絡攻擊,要求各州制定相應計劃。
EPA建議水務系統避免使用預設密碼、制定網絡安全評估計劃,並建立備用系統。EPA也將為需要幫助的水務系統提供免費培訓。然而,許多小型水務系統由於人力和預算不足,難以維持基礎設施的運作,更難以回應日益複雜的網絡安全挑戰。
中國政府支持的黑客組織「伏特颱風」(Volt Typhoon),多次攻擊美國關鍵基礎設施(路透;本報合成)