官员警告供水系统存在网络安全漏洞
2021-07-28
来源:关键基础设施安全应急响应中心
前情提要
今日,美国立法者和专家警告:在针对一些美国组织的攻击不断升级之际,美国关键的水务部门存在巨大的网络安全漏洞。
“我相信下一个珍珠港事件、下一个 9/11 事件将是网络事件,我们的所有系统都面临着漏洞,但水是最关键的之一,也是我认为的最脆弱的公共设施之一,”参议员安格斯·金 (缅因州),网络空间日光浴室委员会(CSC)的联合主席,向参议院环境和公共工程委员会作证表示。
具体内容
“网路安全涉及我们关键基础设施的所有部门,但我认为水可能是最脆弱的,因为美国水系统的分散性质,” 参议员安格斯·金警告说。
King 的担忧来自于委员会关于关键基础设施中网络安全漏洞的听证会,该听证会将重点放在对水和废水处理设施的担忧上。
近年来,网络威胁激增,包括最近对Colonial Pipeline等关键基础设施的勒索软件攻击,导致水务部门也未能幸免。
今年早些时候,一名黑客试图通过破坏控制化学平衡的城市系统来毒害佛罗里达州奥兹马的供水,但未成功,而美国全国广播公司新闻报道称,一名黑客于 1 月单独入侵了旧金山的一家水处理厂。今年 3 月,司法部以入侵和篡改堪萨斯州农村供水系统的罪名美国公民。
“完全靠运气,这些事件都没有影响到客户,”众议员说。 迈克·加拉格尔CSC 的另一位联合主席 (R-Wis.) 周三向同一个参议院小组作证。“一个更老练的对手可能会通过对我们供水的网络攻击来影响成千上万美国人的安全。”
波士顿供水和下水道委员会总工程师约翰沙利文周三作证说,他的组织去年遭受了勒索软件攻击。虽然它能够在不影响任何操作的情况下恢复,但沙利文强调,美国 50,000 个饮用水系统和 16,000 个废水系统中的许多都缺乏应对网络攻击的资源和知识。
“例如,如果入侵者没有立即被发现,并且能够操纵泵来排空水塔,或限制向某些区域的分配,会怎样,”沙利文在他为委员会准备的评论中写道。“这样的结果不仅会削弱公众对其饮用水的信心,还会对社区的基础设施和公共卫生造成严重影响。”
位于马里兰州和特拉华州的德尔马市的特别项目协调员索菲亚·奥伯顿 (Sophia Oberton) 指出,她的 4,500 人城镇只有三名获得许可的饮用水运营商来执行从响应断线到执行铅测试到编制报告的职能。
奥伯顿强调,虽然她所在城镇的人口可能比波士顿这样的城市少,但一次黑客攻击事件可能会导致“全国范围内的心理恐慌,因为社区担心自己的饮用水供应可能会受到威胁”。
“这就是为什么小社区认为保护我们的供水免受任何网络攻击与保护大社区一样重要,”奥伯顿在她准备好的评论中写道。
与受到严格监管的银行或国防等其他部门相比,美国的许多供水设施都位于农村,通常很少有资源和培训来应对网络攻击。
在接受委员会成员质询时,奥伯顿表示,没有网络安全培训要求来获得她的供水运营商执照,并且运营商在网络安全方面“没有遵守联邦层面的具体标准”。沙利文作证说,他的组织对网络的唯一联邦法规是对他们的系统进行自我认证。
“所以这是一个非常开放的情况,”参议员谢尔顿怀特豪斯(DR.I.)打趣道。“我非常希望在这个委员会中,我们将开始开发可以帮助解决这个问题的方式。”
参议院环境和公共工程委员会的两党领导人同意需要采取行动保护供水系统,其中排名成员 雪莱·摩尔·卡皮托 (RW.Va.) 指出网络安全政策可能会包含在即将出台的水资源开发法案中。
“我认为我们有责任认识到网络安全是一项长期的、不断发展的挑战,”委员会主席 汤姆·卡珀(D-Del.) 作证。“应对这一挑战需要持续的联邦投资,而不是一次性解决方案。”