美国环境保护署(EPA)周一(5月20日)警告说,全美范围内针对自来水公司的网络攻击正变得越来越频繁、越来越严重。环保署发布了执法警报,敦促供水系统立即采取行动,保护美国的饮用水。
资料照片:美国环境保护署大楼的标牌。
该机构表示,去年联邦官员检查的公用事业公司中约有70%违反了旨在防止系统被突破或其他入侵的标准。官员们敦促说,即使是小型供水系统也要加强防范黑客攻击的措施。俄罗斯和伊朗附属组织最近发起的网络攻击把目标对准了较小社区。
环保署的警报称,一些供水系统在基本方面存在缺陷,包括未能更改默认密码或切断前员工的系统访问权限。美国环保署表示,由于水务公司通常依靠计算机软件来操作处理厂和配水系统,因此保护信息技术和过程控制至关重要。
环保署表示,网络攻击可能造成的影响包括水处理和储存中断、泵和阀门受损以及化学物质含量被更改到危险水平。
副署长珍妮特·麦凯布(Janet McCabe)说:“在许多情况下,系统没有做它们应该做的事情,即完成对薄弱点的风险评估,包括网络安全,并确保有可供使用并告知他们如何开展业务的计划。”
私人团体或个人试图进入供水商网络并摧毁或破坏网站的行为并不新鲜。然而最近攻击者不仅把目标针对网站,还针对公用事业公司的运营。
最近的攻击事件的发起者不仅仅是私人实体。最近发生的一些针对供水公司的黑客攻击与地缘政治竞争对手有关,并可能会导致家庭和企业安全用水的供应中断。
麦凯布提到了中国、俄罗斯和伊朗,将它们列为“积极寻求使美国关键基础设施瘫痪的国家,包括水和废水处理设施”。
去年末,一个与伊朗有关的名为“Cyber Av3ngers”的团体把多个组织,包括宾夕法尼亚州一个小镇的供水商当作攻击目标,迫使其从远程泵切换为手动操作。在以色列发起了打击哈马斯的战争后,该公用事业公司使用的一个以色列制造的设备成为该团伙的攻击目标。
今年早些时候,一名与俄罗斯有关联的“黑客活动分子”试图打断德克萨斯州几家公用事业公司的运营。
美国官员表示,一个与中国有关联、名为“伏特台风”(Volt Typhoon)的网络组织已经使美国及其领地上多个关键基础设施系统的信息技术受到侵害,其中包括饮用水。网络安全专家认为,这个与中国结盟的团体正在进入攻击位置,为发生武装冲突或地缘政治紧张局势加剧时可能发动的网络袭击做准备。
“通过与这些黑客活动团体在幕后共事,现在这些(国家)有了合理推诿,他们可以让这些团体进行破坏性的攻击。在我看来,这改变了游戏规则,”风险管理公司Dragos Inc.的网络安全专家道恩·卡佩利(Dawn Cappelli)说。
世界网络大国据信多年来一直在渗透竞争对手的关键基础设施,植入可能被触发打断基本服务的恶意软件。
这项执法警报意在强调网络威胁的严重性,并告知公用事业公司,美国环保署将继续进行检查,如果发现严重问题,将寻求民事或刑事处罚。
麦凯布说:“我们希望确保向人们传达这样的信息:‘嘿,我们在此间发现了很多问题,’”
防止针对供水商的攻击是拜登政府打击关键基础设施所受威胁的更广泛努力的一部分。今年2月,总统乔·拜登(Joe Biden)签署了保护美国港口的行政命令。医疗保健系统遭到过攻击。白宫还敦促电力公司加强防御。美国环保署署长迈克尔·里甘(Michael Regan)和白宫国家安全顾问杰克·沙利文(Jake Sullivan)已请求各州制定一项计划,打击对饮用水系统的网络攻击。
里甘和沙利文在3月18日致所有50名美国州长的信中写道:“饮用水和废水处理系统是网络攻击的一个诱人目标,因为它们是生命线一般的关键基础设施部门,却往往缺乏资源和能力来采纳严格的网络安全实践。”
麦凯布说,有些解决措施很简单明了。例如,供水商不应使用默认密码。他们需要制定处理网络安全问题的风险评估计划并建立备份系统。美国环保署表示,他们将免费培训需要帮助的自来水公司。较大的公用事业公司通常拥有更多的资源和专业知识来防御攻击。
州饮用水管理人员协会(Association of State Drinking Water Administrators)执行董事艾伦·罗伯森(Alan Roberson)表示:“在理想的世界中......我们希望人人拥有网络安全的基线水平,而且能够确认他们拥有这一水平。”“但那还有很长的路要走。”
有些障碍是基础性的。在美国,水务领域高度分散。大约有5万个社区供水商,其中多数为小城镇服务。许多地方人员配备有限,预算少得可怜,维持基本业务——提供清洁水和跟上最新法规——就已经步履维艰了。
“当然,网络安全是其中一部分,但从来都不是他们的主要专长。而如今你要求水务公司开发这个全新的部门”来处理网络威胁,德克萨斯理工大学(Texas Tech University)的水务专家艾米·哈德伯格(Amy Hardberger)说。
环保署遭遇过挫折。各州定期审查供水商的绩效。2023年3月,环保署指示各州把网络安全评估加入到这些审查当中。如果他们发现问题,该州应强制改进。
然而,密苏里州、阿肯色州和爱荷华州与美国水务协会(American Water Works Association)和另一个水务业界团体联手在法庭上对联邦当局的这一指示提出挑战,理由是按照《安全饮用水法》(Safe Drinking Water Act),美国环保署并没有这样的权力。在法庭受挫后,美国环保署撤回了这项要求,但敦促各州无论如何都要采取自愿行动。
《安全饮用水法》要求某些供水商针对某些威胁制定计划并认证他们已经做到。但它的权力是有限的。
“那项法律中没有(网络安全)授权,”罗伯森说。
美国水务协会联邦关系事务经理凯文·莫利(Kevin Morley)表示,一些水务公司拥有连接到互联网的组件,这是一个常见但严重的薄弱点。整修这些系统可能是一项重要且成本高昂的工作。如果没有大量的联邦资金,供水系统很难找到资源。
这家业界组织为公用事业公司发布了指南,并呼吁建立一个由网络安全和水务专家组成的新组织,该组织将与美国环保署合作制定并执行新政策。
莫利说:“让我们以合理方式让每个人都参与进来。”他还提到,小型和大型公用事业公司有着不同的需求和资源。
(本文依据了美联社的报道。)
