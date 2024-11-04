美国最大的上市水务和废水处理公用事业公司 American Water 最近遭遇了一起网络安全事件，迫使该公司不得不断开客户计费平台等关键系统的连接。随着公司调查的继续推进，水务行业存在的漏洞引发了越来越多的担忧，该行业已日益成为网络攻击的目标。
此次泄露事件给我们敲响了警钟，揭示了长期困扰关键基础设施行业的安全风险。虽然这家水务公用事业公司确认其运营和水质未受到影响，但 American Water 关闭了其计费系统和客户门户，这凸显了基本民生服务领域中运营技术 (OT) 和信息技术 (IT) 安全漏洞之间的关键交叉点。
美国的供水和废水处理系统对公众健康和环境至关重要，但也面临着长期资金不足、基础设施老旧和攻击面不断扩大等问题。由于依赖 OT 系统（其中许多系统缺乏现代安全保护措施），这些公用事业公司特别容易遭受网络威胁。
根据 CISA 的一份报告，亲俄黑客越来越多地将目标对准水务公用事业内部的工业控制系统 (ICS)，他们经常利用默认密码、不安全的远程访问点和其他不良的网络安全习惯。
水务行业系统的独特之处在于，它们依赖复杂的 ICS 网络来管理关键功能，如处理过程和分配。这些系统在最初设计之时并未考虑到网络安全，导致保护措施碎片化，无法应对当今的威胁环境。
攻击者尤其是民族国家行为者，将水务公用事业机构视为有价值的攻击目标，因为它们有可能破坏民用基础设施并引发大范围恐慌。由于缺乏健全的安全措施，供水系统更容易遭到破坏。总体而言，水务行业存在诸多漏洞，使其成为攻击者谋取金钱利益或施加地缘政治压力的关键目标。
American Water 决定通过 8-K 申报披露其遭受的网络攻击，这凸显了其作为关键基础设施实体的定位以及与这种地位相关的监管要求。《2022 年关键基础设施网络事件报告法》(CIRCIA) 规定，关键基础设施实体必须在检测到网络事件后 72 小时内向 CISA 报告。这是更广泛的联邦倡议的一部分，旨在确保及时报告和应对针对基本民生服务的网络威胁。
根据 CIRCIA 规定，组织不仅需要通知 CISA 等联邦机构，还需要通知公众，特别是在服务中断或数据泄露影响到消费者时。在这种情况下，American Water 的 8-K 申报既是法律通知，也是公开通知，因为美国证券交易委员会 (SEC) 规定，上市公司必须报告可能影响其财务状况的重大事件。
这一通知程序对于维护公众对关键服务提供商的信任至关重要。虽然 American Water 向公众保证水质和运营流程未受影响，但在披露网络攻击方面保持透明，反映了关键基础设施运营商当前所处的监管环境更为严格。
水务行业与许多其他关键基础设施行业一样，遵循兼具自愿性和强制性的网络安全标准框架。2023 年，美国环境保护署 (EPA) 试图根据《安全饮用水法》执行框架，对水务公用事业公司进行强制性的网络安全审计。
这些审计旨在评估公用事业公司的网络安全状况，其中许多公司在实施多因素身份验证 (MFA) 和网络分段等基本安全措施方面一直举步维艰。然而，来自几个州的法律挑战推迟了这些规定的全面实施，监管态势仍在不断变化。
CISA 还发布了综合指南，旨在保障供水和废水处理行业 ICS 和 OT 系统安全。该指南在跨部门网络安全绩效目标 (CPG) 中进行了概述，其中包括减少关键系统在互联网中的暴露、执行严格的密码政策以及确保更换或安全管理过时的工业设备等建议。
水务行业遭受网络攻击的频率上升，促使全国范围内就制定更严格的法规和行业标准的必要性展开了更广泛的讨论。对此，拜登政府强调了通过网络安全培训、威胁情报共享和投资网络安全技术来增强水务系统弹性的重要性。
American Water 遭受的网络攻击凸显了一直困扰水务和废水处理行业的漏洞，尤其是在 IT 与 OT 交叉领域。面对来自民族国家行为者和黑客团体的持续威胁，水务行业亟需加强其网络安全防护。
American Water 在报告安全事件方面保持透明并积极与 CISA 和执法部门合作，为其他关键基础设施提供商树立了必要的先例。随着网络安全法规的不断发展，水务公用事业企业需要高度重视网络安全，并采用联邦机构提供的最佳实践，为未来不可避免的攻击做好准备。