近日,美国环境保护署(EPA)监察长办公室(OIG)发布了一份研究报告,在对美国1062个饮用水系统进行了安全性缺陷评估活动之后,结果显示,超过300个饮用水系统存在系统漏洞,存在可能导致功能丧失、无法服务和用户信息泄露的风险。不安全的饮用水系统为1.1亿美国人提供服务。
安全性缺陷评估涵盖了五个网络安全类别,即电子邮件安全、IT卫生、漏洞、对抗性威胁和恶意活动,并根据潜在影响对识别的漏洞从低到高进行评分。
数据显示,97个系统存在关键或高风险漏洞,可能导致服务瘫痪或数据泄露,另有211个系统存在可被外部访问的开放端口,尽管风险较低,但若不及时修复,仍有可能被利用。
OIG进一步表示,“如果网络攻击者利用我们在被动评估中识别的网络安全漏洞,他们可能会中断服务或对饮用水基础设施造成无法弥补的物理损害。”
EPA还会为每个被调查对象绘制系统的数字足迹,涵盖用于收集、泵送、处理、储存和分配饮用水的基础设施,分析超过75000个IP和14400个域名。
该报告还总结了EPA在网络安全方面的不足。EPA缺乏一个集中式的事件报告系统,目前依赖美国网络安全和基础设施安全局(CISA)进行此类报告,这明显限制了威胁发生时的及时沟通与协调响应能力。此外还有饮用水系统的管理人员缺乏足够的网络安全培训,导致系统容易被黑客攻击;许多供水系统陈旧过时,缺乏维护,进一步增加了网络安全风险。
针对上述问题,EPA计划利用饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划,为公共供水系统提供培训、技术援助和财务支持,以加强其网络安全防护能力。
事实上,美国饮用水系统一直存在严重安全风险。2021年2月,黑客通过远程控制软件TeamViewer入侵佛罗里达州奥兹玛市自来水厂的电脑系统,试图将氢氧化钠的含量从百万分之100大幅提高到百万分之111000,这直接达到了“水质危险”的程度。
由于员工及时发现并干预,没有对公众造成实际伤害。但FBI和特勤局介入调查后,议员马可·罗伯(Marco Rubio)要求FBI全力协助,将此案件视为国家安全问题。
再今年5月,EPA也曾警告说,超过70%的水系统不符合《安全饮用水法》,强调了严重性高的问题,例如使用默认密码和容易受到黑客攻击的认证系统,这些都大大降低了攻击者入侵的门槛。
为此,EPA要求在各州进行公共供水系统的卫生检查时,强制纳入网络安全评估。供水系统运营商也需要制定适当的事件响应计划,以便在检测和分析网络事件时能够快速、准确地报告事件并收集数据进行分析。对此,美国联邦机构发布了指导意见,帮助供水和废水处理系统运营商更好地应对网络攻击。EPA也与CISA、FBI联合发布指南:EPA与美国网络安全和基础设施安全局(CISA)及美国联邦调查局(FBI)联合发布了一项网络安全实践指南,旨在帮助城市供水和废水处理领域的企业组织提高网络安全弹性和事件响应能力。
参考来源:https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/