华盛顿—— 美国环境保护局周一警告说,全国范围内针对自来水公司的网络攻击正变得越来越频繁、越来越严重,同时发布了执法警报,敦促供水系统立即采取行动,保护国家的饮用水。
该机构表示,去年联邦官员检查的公用事业公司中约有 70% 违反了旨在防止违规或其他入侵的标准。 官员们敦促即使是小型供水系统也要加强防范黑客攻击的措施。 俄罗斯和伊朗附属组织最近发起的网络攻击瞄准了较小的社区。
警报称,一些供水系统在基本方面存在缺陷,包括未能更改默认密码或切断前员工的系统访问权限。 美国环保局表示,由于水务公司通常依靠计算机软件来操作处理厂和分配系统,因此保护信息技术和过程控制至关重要。 网络攻击可能造成的影响包括水处理和储存中断; 损坏泵和阀门; 该机构表示,并将化学物质含量更改为危险量。
美国环保局表示:“在许多情况下,系统没有做它们应该做的事情,即完成对其漏洞的风险评估,包括网络安全,并确保计划可用并告知他们开展业务的方式。”副署长珍妮特·麦凯布。
私人团体或个人试图进入供水商网络并摧毁或破坏网站的行为并不新鲜。 然而,最近,攻击者不仅针对网站,还针对公用事业公司的运营。
最近的攻击不仅仅是私人实体发起的。 最近发生的一些针对自来水公司的黑客攻击与地缘政治竞争对手有关,并可能导致家庭和企业安全用水的供应中断。
麦凯布命名 中国、俄罗斯和伊朗等国家“正在积极寻求使美国关键基础设施瘫痪的能力,包括水和废水处理”。
去年年底,一个名为“网络复仇者”的伊朗组织针对多个组织发动攻击,其中包括宾夕法尼亚州一个小镇的供水公司,迫使其从远程泵切换到手动操作。他们的目标是以色列制造的设备,该设备是该公用事业公司在以色列与哈马斯的战争后使用的。
今年早些时候,一名与俄罗斯有关的“黑客活动分子”试图破坏德克萨斯州几家公用事业公司的运营。
美国官员称,一个与中国有关联的网络组织“Volt Typhoon”已经破坏了美国及其领土内多个关键基础设施系统的信息技术,包括饮用水系统。网络安全专家认为,这个与中国结盟的组织正在为武装冲突或地缘政治紧张局势加剧时的潜在网络攻击做好准备。
“通过与这些黑客活动团体在幕后合作,现在这些(民族国家)有合理的推诿态度,他们可以让这些团体进行破坏性攻击。 对我来说,这改变了游戏规则。”工业网络安全公司 Dragos Inc. 的网络安全专家 Dawn Cappelli 说道。
据信,世界网络力量多年来一直在渗透竞争对手的关键基础设施,植入可能被触发破坏基本服务的恶意软件。
执法警报旨在强调网络威胁的严重性,并告知公用事业公司,如果发现严重问题,环保局将继续检查并追究民事或刑事处罚。
“我们希望确保向人们传达这样的信息:‘嘿,我们在这里发现了很多问题,’”麦凯布说。
EPA 没有透露近年来发生了多少起网络事件,目前已知的成功攻击次数很少。自 2020 年以来,该机构已发布了近 100 项有关风险评估和应急响应的执法行动,但表示这只是水系统面临的威胁的一小部分。
防止针对供水商的攻击是拜登政府打击关键基础设施威胁的更广泛努力的一部分。 二月,总统乔·拜登签署了一项保护美国港口的行政命令。 医疗保健系统遭到攻击。 白宫也敦促电力公司加强防御。 美国环保局局长迈克尔·里根和白宫国家安全顾问杰克·沙利文已要求各州制定一项计划,打击饮用水系统的网络攻击。
Regan 和 Sullivan 在 3 月 18 日致所有 50 名美国州长的信中写道:“饮用水和废水系统是网络攻击的一个有吸引力的目标,因为它们是生命线关键基础设施部门,但往往缺乏采取严格网络安全实践的资源和技术能力。” 。
麦凯布表示,有些修复措施很简单。例如,供水公司不应使用默认密码。他们需要制定一个解决网络安全问题的风险评估计划,并建立备份系统。环保局表示,他们将免费培训需要帮助的供水公司。规模较大的供水公司通常拥有更多资源和专业知识来防御攻击。
“在理想的世界中……我们希望每个人都拥有网络安全的基线水平,并能够确认他们拥有这一水平,”州饮用水管理员协会执行董事艾伦·罗伯森说。 “但这还有很长的路要走。”
有些障碍是根本性的。 水务部门高度分散。 大约有 50,000 个社区供水商,其中大部分为小城镇提供服务。 许多地方的人员配备有限,预算不足,使得维持基本生活变得非常困难——提供清洁水和遵守最新法规。
“当然,网络安全是其中的一部分,但这从来都不是他们的主要专业知识。 德克萨斯理工大学水务专家艾米·哈德伯格(Amy Hardberger)表示,“所以,现在你要求水务公司开发一个全新的部门”来处理网络威胁。
EPA 遭遇了挫折。 各州定期审查供水商的绩效。 2023 年 3 月,EPA 指示各州在这些审查中添加网络安全评估。 如果他们发现问题,国家应该强制改进。
但密苏里州、阿肯色州和爱荷华州与美国水务协会和另一个水工业团体一起,在法庭上对这一指示提出质疑,理由是美国环保局没有《安全饮用水法》规定的权力。 在法庭受挫后,美国环保署撤回了要求,但敦促各州无论如何都要采取自愿行动。
《安全饮用水法案》要求某些供水商针对某些威胁制定计划并证明他们已经这样做了。但其权力是有限的。
“法律中没有(网络安全)的权力,”罗伯森说。
美国水务协会联邦关系经理凯文·莫利 (Kevin Morley) 表示,一些水务公司拥有连接到互联网的组件,这是一个常见但严重的漏洞。 检修这些系统可能是一项重要且成本高昂的工作。 如果没有大量的联邦资金,供水系统就很难找到资源。
该行业组织发布了针对公用事业公司的指南,并倡导建立一个由网络安全和水专家组成的新组织,该组织将与美国环保署合作制定新政策并执行这些政策。
莫利说:“让我们以合理的方式让每个人都参与其中。”他补充说,小型和大型公用事业公司有不同的需求和资源。
___
菲利斯从圣路易斯报道。
___
美联社在水和环境政策的报道方面得到了沃尔顿家族基金会的支持。 美联社对所有内容全权负责。 有关美联社的所有环境报道,请访问 https://apnews.com/hub/climate-and-environment
1716264915
2024-05-21 01:10:22
