美政府发布“工业控制系统网络安全倡议:水部门百日行动计划”
当地时间1月27日,拜登政府宣布将一项针对电力部门和管道的基本控制系统的自愿网络安全计划扩展到美国各地的供水行业。根据该倡议,政府正在推动参与的水务部门设施采用检测技术,以监测对工业控制系统(ICS) 的网络威胁,从而实现水处理、储存和配送等流程的自动化。该倡议还敦促水行业更快地与美国政府共享威胁情报信息。CISA局长、国家网络总监、网络和新兴技术国家安全副顾问、国土安全部长、环境保护署署长均对倡议计划表达了乐观支持的态度。网络安全行业对此倡议表达了谨慎的乐观。
具体倡议的落实将由白宫、环境保护署 (EPA) 和网络安全与基础设施安全局 (CISA) 联合,以改善美国供水系统的网络安全。这项名为 “工业控制系统网络安全倡议——水和废水部门行动计划”包括官方认为可以在未来几个月内采取的几项措施,以解决水务行业的网络安全漏洞。该计划将创建一个由水务行业领导者组成的工作组,启动事故监测试点计划,改善信息共享,并为需要帮助的水系统提供技术支持。
美国环保署(EPA)署长迈克尔·里根(Michael Regan )表示,网络攻击“对供水系统的威胁越来越大,从而对我们社区的安全和保障造成越来越大的威胁”。
“随着网络威胁变得越来越复杂,我们需要一种更加协调和现代化的方法来保护支持美国获得清洁和安全供水的水系统,”里根说。“EPA 致力于与我们的联邦合作伙伴合作,并利用我们的权威来支持水务部门检测、响应网络事件并从中恢复。”
白宫表示,该计划将为所有者和运营商提供能够提供“近乎实时的态势感知和警告”的技术。《华盛顿邮报》 指出,超过150,000家自来水公司为美国人口提供服务。
官方的声明表示,水务设施由数千个系统组成,其规模从非常小到服务于主要大城市的系统,这些系统几乎没有或根本没有网络安全专业知识,并且不确定应该采取哪些步骤来应对网络风险。EPA和CISA将发挥作用与适当的私营部门合作伙伴共同制定信息共享协议。
各种规模的供水系统,政府不会选择、认可或推荐任何特定的技术或提供商。该计划最初将侧重于服务于最大人口和具有最严重后果系统的公用事业;但是,它将为支持增强 ICS 网络安全奠定基础。
去年10 月,CISA就一系列网络威胁向美国供水和污水处理系统运营商发出警告,以防扰乱他们的运营。该通知列出了自2019年以来针对水行业的几次攻击 ,其中典型的安全包括如下几起。
1、2021年8月的一次攻击,其中涉及针对加利福尼亚州的一个设施部署Ghost勒索软件。攻击者在系统内部待了一个月,然后在三台监控和数据采集服务器上发布了勒索软件消息。
2、在 2021年7月的一次攻击中,ZuCaNo勒索软件用于破坏缅因州的一个废水处理设施。2021 年3月,内华达州一家水处理厂遭到未知勒索软件变种的攻击。
3、2020年9月,Makop 勒索软件袭击了新泽西州的一家设施。
4、2019年3月的另一次攻击涉及企图威胁堪萨斯州一个小镇的饮用水。
5、2021年 月还发生了一次引人注目的攻击,一名身份不明的黑客访问了佛罗里达州奥兹马尔市一家水处理设施的计算机系统,并将化学水平修改为危险参数。这起未遂的投毒事件引发了全世界的关注,一度成为网络安全新闻的头条。
最近的报告表明,十分之一的废物或污水处理厂存在严重的安全漏洞。
CISA局长Jen Easterly说,“在过去的一年里,我们看到网络威胁影响了支撑我们社区的关键基础设施和我们所依赖的服务,包括安全和清洁的水”。 “为了减少破坏性网络安全入侵对水行业的可能性和影响,我们正在与我们的 EPA合作伙伴合作,为该行业提供指导、技术和直接支持。今天宣布的行动计划将帮助我们更好地了解和减少水和废水部门的近期和长期风险,并确保美国人民的安全。”
白宫在声明中指出,去年威胁行为者对Colonial Pipeline和食品加工商JBS的袭击“提醒我们,联邦政府在为关键基础设施设定网络安全基线方面的权力有限,管理这一风险需要与私营部门和市政业主合作和该基础设施的运营商。
EPA制定了水计划,协同国家安全委员会、CISA 以及水部门协调委员会和水政府协调委员会一起应对网络威胁。
国家网络总监Chris Inglis解释说,该计划将为水务公司的所有者和运营商提供路线图,以采取具有影响力的行动,以改善其运营的网络安全。
100天计划是乔·拜登总统工业控制系统 (ICS) 计划的一部分,该计划旨在帮助关键基础设施组织使用提供更高可见性、指标、检测和网络威胁警告的工具。
网络和新兴技术国家安全副顾问Anne Neuberger 表示,为电网和管道运营商制定的行动计划”已经导致150 多家电力公司为超过9000万住宅客户和多条关键天然气管道部署额外的网络安全技术提供服务。“
Neuberger 说:”该计划将建立在这项工作的基础上,是我们与私营部门所有者和关键基础设施运营商合作,利用我们掌握的所有工具实现国家网络防御现代化的又一例证。“
国土安全部部长亚历杭德罗·马约卡斯补充说:”美国人的生命依赖于保护国家的关键基础设施免受不断演变的网络安全威胁。“
ICS网络安全专家对100天计划的反应不一。Hexagon PPM的过程安全和OT 网络安全网络副总裁 Mark Carrigan 告诉ZDNet,概述的措施”不足以将风险降低到可接受的水平“。
Carrigan表示,当今的检测技术状态并非”万无一失“,他指出,许多渗透和后续攻击都是从利用零日漏洞开始的,这些漏洞在事后才被发现。
”这就像在奶牛离开后关上谷仓的门。现在是关键基础设施增加投资以提高运营弹性的时候了,这样我们就可以应对攻击,最大限度地减少影响,并在可接受的时间内恢复运营, “Carrigan说。
Carrigan认为,必须接受这样一个事实,即由于提供关键服务的控制系统的性质,无法阻止所有网络攻击。必须提高我们的响应和恢复能力。