2700万美国人面临攻击风险
EPA的报告基于2023年10月对超过75,000个IP地址和14,400个域名的被动评估。评估发现,美国约9%的大型供水系统(覆盖至少5万人)存在严重漏洞。总体而言,这些受影响的供水系统直接服务于数百万居民、企业、学校和医院。
“如果恶意攻击者利用这些网络安全漏洞,可能会导致供水服务中断或对饮用水基础设施造成不可挽回的破坏,”EPA在报告中警告道。
网络攻击频发:供水系统成新目标
过去三年中,供水系统成为国家支持的黑客组织、勒索软件团伙和黑客活动家攻击的重点目标。例如:
2023年,与伊朗有关的网络攻击者入侵了宾夕法尼亚州一家供水设施的可编程逻辑控制器(PLC),以及以色列的10家废水处理厂。
2021年,一名黑客试图攻击佛罗里达州的一个水处理厂,甚至更改了水中化学物质的混合比例,但未能成功躲避检测。
2024年9月,堪萨斯州阿肯色市的一个水处理厂遭遇网络安全事件后被迫转为手动操作。
这些事件表明,水系统的网络安全漏洞不仅威胁着居民的生活,还可能影响到与供水紧密相关的企业和关键基础设施,如发电厂和数据中心。
供水系统为何如此脆弱?
美国拥有近15万个供水系统,这些系统分为三大类:
- 社区供水系统(CWS):全年为城市或城镇居民供水,占总供水系统的33.7%。
- 非社区临时供水系统(TNCWS):为特定场所的游客或旅客提供短期供水,例如露营地或加油站,占54.3%。
- 非社区长期供水系统(NTNCWS):为学校、企业和医院等非住宅场所供水,占12%。
大多数供水系统规模较小,面临与地方政府类似的挑战:缺乏资源、技术设备老化、防御架构不完善以及网络监控能力不足。
谷歌云CISO办公室制造与工业部门负责人Vinod D'Souza指出:“供水系统直接关系到公共健康,且供水系统地理分布广泛,结构复杂,其网络安全挑战远超其他行业。因此需要比其他运营技术(OT)系统更严格的安全措施。”
监管与投资的缺口
根据EPA规定,服务超过3300人的供水系统必须进行包括网络安全在内的风险评估,并制定应急响应计划。然而,由于资金短缺,大多数供水设施难以满足这些要求。
2024年5月,EPA发布警告称:伊朗和俄罗斯正加紧对美国供水系统的网络攻击。这些系统存在以下问题:
- 未更改默认密码
- 所有员工使用同一登录账号
- 未限制已离职员工的访问权限
此外,美国网络安全与基础设施安全局(CISA)发布了供水与废水行业的网络事件响应指南,但由于资源有限和监管力度不足,许多供水系统仍未达到基本的网络安全标准。
谷歌云的D'Souza表示:“单纯增加监管并不能解决问题,预算不足对关键基础设施安全的影响更大。”
