從供水系統被黑看美國關基網絡安全保護體系的漏洞
責編:gltian |2023-12-26 17:23:56今年3月,美國環保署發布備忘錄警告稱,針對公共供水系統的網絡攻擊正在增加。環保署表示,這些攻擊有可能癱瘓或污染美國民眾的飲用水。盡管一些公共供水系統已采取重要步驟改善網絡安全,但根據環保署的說法,許多系統“未能遵循基本的網絡安全最佳實踐,因而面臨較高網絡攻擊風險,攻擊者包括得到國家支持的行為者。”
根據聯邦《安全飲用水法》,各州有責任對當地供水系統進行調查。具體來說,各州必須至少每三到五年對“公共供水系統的設施、設備、運營等進行現場審查,以評估系統完備性、水源和運營情況,以及安全飲用水配送情況”。如果一個州在調查中發現“重大缺陷”,就必須要求供水系統解決問題。
水務行業聯合廢除
環保署網絡安全要求
環保署在3月備忘錄中指出,許多公共供水系統依賴于電子系統實現高效運轉,特別是工業控制系統等運營技術。因此,環保署正在重新解釋現有規定,要求各州對公共供水系統的“設備”和“運營”進行審查時,需對任何影響客戶水資源供應或安全性的運營技術進行網絡安全審查。
根據現有規定,如果州政府發現嚴重的網絡安全缺陷,將要求供水系統解決這些問題。備忘錄列出了各種州可遵循的方法,包括供水系統自行評估、第三方評估、州政府直接評估以及其他選項。在一份配套文件中,環保署提供了一個供州政府使用的網絡安全檢查清單。
通知一經發出,幾個共和黨州的檢察長,連同美國供水協會和全國農村供水協會,提出了審查請求。他們認為該備忘錄違反了《行政程序法》,超出了環保署的法定權力。原告辯稱,目前對安全飲用水供應起到至關重要作用的運營技術,并不屬于現有規定中“設備”、“運營”或“安全飲用水配送”的范疇。行業協會認為,收集網絡安全信息將使供水系統更容易受到網絡攻擊威脅。
2023年7月,第八巡回法院在未發表具體意見的情況下,同意原告方的動議,暫緩執行備忘錄,直至復審申請處理完畢。2023年10月,環保署因訴訟行動而撤銷了3月份的備忘錄。
供水系統遭伊朗大規模網絡攻擊
現在,美國聯邦調查局、網絡安全和基礎設施安全局、國家安全局、環保署以及以色列國家網絡局發布聯合警告,自2023年11月22日以來,伊朗伊斯蘭革命衛隊的網絡行動者一直在積極攻擊并破壞美國供水和廢水系統使用的運營技術。受損設備(比如以色列猶尼康公司制造可編程邏輯控制器)被公開暴露在互聯網上,使用的是默認密碼。
這些機構建議供水系統可以“立即采取三項措施減輕惡意活動的影響”。但他們只能建議,因為環保署的備忘錄已被撤銷。
這些措施包括實施多因素身份驗證,使用強大、獨特的密碼,以及檢查安裝設備是否使用默認密碼。這與環保署3月份備忘錄不謀而合。備忘錄配套的網絡安全檢查清單推薦的前四項措施中,有三項與上述建議完全相同:“啟用多因素身份驗證”、“要求密碼達到最小長度”、“更改默認密碼”。
因此,伊斯蘭革命衛隊正在利用的缺陷,正是幾個月前各州和供水系統團體爭辯稱,評估供水系統設備和運營時無需考慮的弱點。
反監管致使
全面網絡安全立法遙遙無期
拜登政府針對管道、鐵路和航空部門的網絡安全規定都強調了安全和可靠性,但沒有明確提到網絡安全。到目前為止,這些規定都依然有效。然而,美國法院對聯邦監管持敵對態度。最高法院在2021年的裁決就是典型案例。裁決規定,除非國會明確授予權力,否則聯邦機構不能處理重大問題。裁決可能已經減緩了拜登政府為其他部門制定網絡安全規定的努力。正是受此影響,政府決定放棄環保署備忘錄。
值得肯定的是,政府繼續尋找加強關鍵基礎設施網絡安全的途徑。就在12月6日,美國衛生和人類服務部發布了網絡安全計劃,表示將利用現有權力,為接受醫療保險和醫療補助支付的醫院制定網絡安全要求。
然而,要迅速而明確地推進網絡安全,需要國會采取行動。由于國會山被反監管情緒籠罩(其他不利因素就更不用提了),全面的網絡安全立法是不可想象的。但就在去年12月,國會確實有所行動,授予美國食品藥品監督管理局頒布聯網醫療設備網絡安全標準的特殊權力。
行業自律試圖推動網絡安全改進
諷刺的是,曾反對環保署備忘錄的美國供水協會現在呼吁制定聯邦立法,為飲用水和廢水系統建立監管體制。他們建議成立一家行業主導的私人組織,制定網絡安全要求,經環保署批準后加以執行,受到環保署監督。
這個概念模仿了早在2005年就根據《能源政策法案》建立的大型電力行業監管系統。網絡空間日光浴委員會工作人員將這個概念翻譯成立法語言,但迄今尚未提出這樣的立法。貿易協會及其盟友,既然已經證明他們有能力阻止環保署的行動,那么他們是否有意愿和能力讓國會通過任何法案?
環保署加強水務系統網絡安全的努力遭到各種手段的限制。想要打破這些限制,需要針對相關機構、行業逐個擊破,找到其他渠道讓國會可以逐步采取行動。與此同時,政府只能懇求美國的飲用水供應商更改默認密碼。
參考資料:lawfaremedia.com
來源:安全內參