當地時間1月27日,拜登政府宣布將一項針對電力部門和管道的基本控制系統的自愿網絡安全計劃擴展到美國各地的供水行業。根據該倡議,政府正在推動參與的水務部門設施采用檢測技術,以監測對工業控制系統(ICS) 的網絡威脅,從而實現水處理、儲存和配送等流程的自動化。該倡議還敦促水行業更快地與美國政府共享威脅情報信息。CISA局長、國家網絡總監、網絡和新興技術國家安全副顧問、國土安全部長、環境保護署署長均對倡議計劃表達了樂觀支持的態度。網絡安全行業對此倡議表達了謹慎的樂觀。
具體倡議的落實將由白宮、環境保護署 (EPA) 和網絡安全與基礎設施安全局 (CISA) 聯合,以改善美國供水系統的網絡安全。這項名為 “工業控制系統網絡安全倡議——水和廢水部門行動計劃”包括官方認為可以在未來幾個月內采取的幾項措施,以解決水務行業的網絡安全漏洞。該計劃將創建一個由水務行業領導者組成的工作組,啟動事故監測試點計劃,改善信息共享,并為需要幫助的水系統提供技術支持。
美國環保署(EPA)署長邁克爾·里根(Michael Regan )表示,網絡攻擊“對供水系統的威脅越來越大,從而對我們社區的安全和保障造成越來越大的威脅”。
“隨著網絡威脅變得越來越復雜,我們需要一種更加協調和現代化的方法來保護支持美國獲得清潔和安全供水的水系統,”里根說。“EPA 致力于與我們的聯邦合作伙伴合作,并利用我們的權威來支持水務部門檢測、響應網絡事件并從中恢復。”
白宮表示,該計劃將為所有者和運營商提供能夠提供“近乎實時的態勢感知和警告”的技術。《華盛頓郵報》 指出,超過150,000家自來水公司為美國人口提供服務。
官方的聲明表示,水務設施由數千個系統組成,其規模從非常小到服務于主要大城市的系統,這些系統幾乎沒有或根本沒有網絡安全專業知識,并且不確定應該采取哪些步驟來應對網絡風險。EPA和CISA將發揮作用與適當的私營部門合作伙伴共同制定信息共享協議。
各種規模的供水系統,政府不會選擇、認可或推薦任何特定的技術或提供商。該計劃最初將側重于服務于最大人口和具有最嚴重后果系統的公用事業;但是,它將為支持增強 ICS 網絡安全奠定基礎。
去年10 月,CISA就一系列網絡威脅向美國供水和污水處理系統運營商發出警告,以防擾亂他們的運營。該通知列出了自2019年以來針對水行業的幾次攻擊 ,其中典型的安全包括如下幾起。
1、2021年8月的一次攻擊,其中涉及針對加利福尼亞州的一個設施部署Ghost勒索軟件。攻擊者在系統內部待了一個月,然后在三臺監控和數據采集服務器上發布了勒索軟件消息。
2、在 2021年7月的一次攻擊中,ZuCaNo勒索軟件用于破壞緬因州的一個廢水處理設施。2021 年3月,內華達州一家水處理廠遭到未知勒索軟件變種的攻擊。
3、2020年9月,Makop 勒索軟件襲擊了新澤西州的一家設施。
4、2019年3月的另一次攻擊涉及企圖威脅堪薩斯州一個小鎮的飲用水。
5、2021年 月還發生了一次引人注目的攻擊,一名身份不明的黑客訪問了佛羅里達州奧茲馬爾市一家水處理設施的計算機系統,并將化學水平修改為危險參數。這起未遂的投毒事件引發了全世界的關注,一度成為網絡安全新聞的頭條。
最近的報告表明,十分之一的廢物或污水處理廠存在嚴重的安全漏洞。
CISA局長Jen Easterly說,“在過去的一年里,我們看到網絡威脅影響了支撐我們社區的關鍵基礎設施和我們所依賴的服務,包括安全和清潔的水”。 “為了減少破壞性網絡安全入侵對水行業的可能性和影響,我們正在與我們的 EPA合作伙伴合作,為該行業提供指導、技術和直接支持。今天宣布的行動計劃將幫助我們更好地了解和減少水和廢水部門的近期和長期風險,并確保美國人民的安全。”
白宮在聲明中指出,去年威脅行為者對Colonial Pipeline和食品加工商JBS的襲擊“提醒我們,聯邦政府在為關鍵基礎設施設定網絡安全基線方面的權力有限,管理這一風險需要與私營部門和市政業主合作和該基礎設施的運營商。
EPA制定了水計劃,協同國家安全委員會、CISA 以及水部門協調委員會和水政府協調委員會一起應對網絡威脅。
國家網絡總監Chris Inglis解釋說,該計劃將為水務公司的所有者和運營商提供路線圖,以采取具有影響力的行動,以改善其運營的網絡安全。
100天計劃是喬·拜登總統工業控制系統 (ICS) 計劃的一部分,該計劃旨在幫助關鍵基礎設施組織使用提供更高可見性、指標、檢測和網絡威脅警告的工具。
網絡和新興技術國家安全副顧問Anne Neuberger 表示,為電網和管道運營商制定的行動計劃”已經導致150 多家電力公司為超過9000萬住宅客戶和多條關鍵天然氣管道部署額外的網絡安全技術提供服務。“
Neuberger 說:”該計劃將建立在這項工作的基礎上,是我們與私營部門所有者和關鍵基礎設施運營商合作,利用我們掌握的所有工具實現國家網絡防御現代化的又一例證。“
國土安全部部長亞歷杭德羅·馬約卡斯補充說:”美國人的生命依賴于保護國家的關鍵基礎設施免受不斷演變的網絡安全威脅。“
ICS網絡安全專家對100天計劃的反應不一。Hexagon PPM的過程安全和OT 網絡安全網絡副總裁 Mark Carrigan 告訴ZDNet,概述的措施”不足以將風險降低到可接受的水平“。
Carrigan表示,當今的檢測技術狀態并非”萬無一失“,他指出,許多滲透和后續攻擊都是從利用零日漏洞開始的,這些漏洞在事后才被發現。
”這就像在奶牛離開后關上谷倉的門。現在是關鍵基礎設施增加投資以提高運營彈性的時候了,這樣我們就可以應對攻擊,最大限度地減少影響,并在可接受的時間內恢復運營, “Carrigan說。
Carrigan認為,必須接受這樣一個事實,即由于提供關鍵服務的控制系統的性質,無法阻止所有網絡攻擊。必須提高我們的響應和恢復能力。
