美國供水系統(tǒng)的網(wǎng)絡(luò)安全再次敲響警鐘。據(jù)美國環(huán)境保護(hù)署（EPA）11月13日發(fā)布的一份報告顯示，美國近100個大型社區(qū)供水系統(tǒng)（CWS）仍然存在嚴(yán)重的網(wǎng)絡(luò)安全漏洞，這些系統(tǒng)服務(wù)著超過2700萬美國人。如果這些漏洞被惡意攻擊者利用，可能導(dǎo)致供水中斷，甚至對飲用水基礎(chǔ)設(shè)施造成不可逆的物理破壞。

2700萬美國人面臨攻擊風(fēng)險

EPA的報告基于2023年10月對超過75,000個IP地址和14,400個域名的被動評估。評估發(fā)現(xiàn)，美國約9%的大型供水系統(tǒng)（覆蓋至少5萬人）存在嚴(yán)重漏洞。總體而言，這些受影響的供水系統(tǒng)直接服務(wù)于數(shù)百萬居民、企業(yè)、學(xué)校和醫(yī)院。

“如果惡意攻擊者利用這些網(wǎng)絡(luò)安全漏洞，可能會導(dǎo)致供水服務(wù)中斷或?qū)︼嬘盟A(chǔ)設(shè)施造成不可挽回的破壞，”EPA在報告中警告道。

網(wǎng)絡(luò)攻擊頻發(fā)：供水系統(tǒng)成新目標(biāo)

過去三年中，供水系統(tǒng)成為國家支持的黑客組織、勒索軟件團(tuán)伙和黑客活動家攻擊的重點目標(biāo)。例如：

2023年，與伊朗有關(guān)的網(wǎng)絡(luò)攻擊者入侵了賓夕法尼亞州一家供水設(shè)施的可編程邏輯控制器（PLC），以及以色列的10家廢水處理廠。

2021年，一名黑客試圖攻擊佛羅里達(dá)州的一個水處理廠，甚至更改了水中化學(xué)物質(zhì)的混合比例，但未能成功躲避檢測。

2024年9月，堪薩斯州阿肯色市的一個水處理廠遭遇網(wǎng)絡(luò)安全事件后被迫轉(zhuǎn)為手動操作。

這些事件表明，水系統(tǒng)的網(wǎng)絡(luò)安全漏洞不僅威脅著居民的生活，還可能影響到與供水緊密相關(guān)的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，如發(fā)電廠和數(shù)據(jù)中心。

供水系統(tǒng)為何如此脆弱？

美國擁有近15萬個供水系統(tǒng)，這些系統(tǒng)分為三大類：

社區(qū)供水系統(tǒng)（CWS）：全年為城市或城鎮(zhèn)居民供水，占總供水系統(tǒng)的33.7%。

非社區(qū)臨時供水系統(tǒng)（TNCWS）：為特定場所的游客或旅客提供短期供水，例如露營地或加油站，占54.3%。

非社區(qū)長期供水系統(tǒng)（NTNCWS）：為學(xué)校、企業(yè)和醫(yī)院等非住宅場所供水，占12%。

大多數(shù)供水系統(tǒng)規(guī)模較小，面臨與地方政府類似的挑戰(zhàn)：缺乏資源、技術(shù)設(shè)備老化、防御架構(gòu)不完善以及網(wǎng)絡(luò)監(jiān)控能力不足。

谷歌云CISO辦公室制造與工業(yè)部門負(fù)責(zé)人Vinod D'Souza指出：“供水系統(tǒng)直接關(guān)系到公共健康，且供水系統(tǒng)地理分布廣泛，結(jié)構(gòu)復(fù)雜，其網(wǎng)絡(luò)安全挑戰(zhàn)遠(yuǎn)超其他行業(yè)。因此需要比其他運營技術(shù)（OT）系統(tǒng)更嚴(yán)格的安全措施?！?/span>

監(jiān)管與投資的缺口

根據(jù)EPA規(guī)定，服務(wù)超過3300人的供水系統(tǒng)必須進(jìn)行包括網(wǎng)絡(luò)安全在內(nèi)的風(fēng)險評估，并制定應(yīng)急響應(yīng)計劃。然而，由于資金短缺，大多數(shù)供水設(shè)施難以滿足這些要求。

2024年5月，EPA發(fā)布警告稱：伊朗和俄羅斯正加緊對美國供水系統(tǒng)的網(wǎng)絡(luò)攻擊。這些系統(tǒng)存在以下問題：

未更改默認(rèn)密碼

所有員工使用同一登錄賬號

未限制已離職員工的訪問權(quán)限

此外，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了供水與廢水行業(yè)的網(wǎng)絡(luò)事件響應(yīng)指南，但由于資源有限和監(jiān)管力度不足，許多供水系統(tǒng)仍未達(dá)到基本的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

谷歌云的D'Souza表示：“單純增加監(jiān)管并不能解決問題，預(yù)算不足對關(guān)鍵基礎(chǔ)設(shè)施安全的影響更大?！?/span>

參考鏈接：

https://www.darkreading.com/vulnerabilities-threats/leaky-cybersecurity-holes-water-systems-risk

來源： GoUpSec