此前,美国政府发布了《国家网络安全战略》,旨在指导未来的关基安全保护政策,敦促对各行业现有的网络安全进行更严格的监管,并加强政府与私营部门之间的合作。
近日,作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。
美国环境保护署(EPA,以下简称环保署)梳理了公共供水系统官员在饮用水保护方面应当采取的步骤,并要求在供水系统的“卫生检查”中强制纳入网络安全评估。
在上周五(3月3日)发布的这些要求前,环保署进行了历时数月的安全调查工作。调查结果显示,虽然许多公共供水系统(PWS)都制定了网络安全计划,但仍有相当一部分系统没有。
环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道,包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁,但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。
Fox指出,“如今,公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配,面临着等同甚至高于物理形式攻击的网络风险水平。”
“因此需要强调,各州必须在卫生检查期间对供水系统的装置及运行状况进行评估,这将有助于降低供水系统被成功攻击的可能性,并在发生网络事件时提高设施的恢复能力。”
历史背景
根据美国参议院共和党政策委员会去年发布的一份报告,全美约有15.3万个公共饮用水系统,为80%的美国人口提供饮用水资源。
安全软件厂商Tripwire在2022年9月一份报告中表示,美国许多供水系统“规模很小,服务于低密度社区且运营预算有限。供水设施覆盖范围的分散,再加上低预算和专业技术知识不足,意味着其中大量系统已经陈旧过时且缺乏维护。”
环保署的Fox表示,过去二十年间,公共供水管理者越来越依赖电子工具来操作其供水系统,但这些电子系统现在极易受到网络攻击影响。
供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出,该行业应当从培训到教育、再到评估和工具,将网络安全视为重中之重。
现实举措
鉴于从互联网访问关键水处理系统相对容易,网络安全对水务部门构成了巨大且日益严重的威胁。目前,许多供水系统没有实施网络安全措施。通过自愿措施改善网络安全的努力在保护国家至关重要的饮用水系统方面收效甚微。
根据环保署的要求,如果公共供水系统在运营当中使用了工业控制系统(ICS)等运营技术,那么作为大规模卫生检查的一部分,评估工作必须涵盖对实践和控制等运营技术的网络安全保护。
如果在网络安全保护中发现“重大缺陷”,例如设计/运营缺陷,水处理、贮存或分配系统故障等,则所在州必须保证公共供水系统解决它。
环保署也为部分组织提供更灵活的回旋空间,具体取决于之前实施的计划,包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。
环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等,为公共供水系统提供培训、技术援助和财务支持。
环保署将与各州水务部门、水务协调委员会和水务协会广泛合作,构建网络安全意识,理解现实安全问题,并在制定备忘录和安全指南时解决现存问题。参考资料:theregister.com