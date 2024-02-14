安全

联邦机构向美国水务部门发布紧急指南

水务和废水处理部门 (WWS) 面临着使其极易遭受攻击的网络安全挑战。为此，美国网络安全和基础设施安全局 (CISA)、EPA 和联邦调查局 (FBI) 近期联合向该部门发布了指南，列举了不同的网络安全成熟度水平以及潜在的网络安全解决方案。

新发布的《事件响应指南》(IRG) 为水务部门提供了关于网络事件响应生命周期各阶段联邦机构角色、资源和职责的信息。该部门的业主和运营商可利用此信息完善其事件响应计划，建立基线标准并加强信息共享。

遭受攻击威胁的供水安全

2023 年 10 月，据称与伊朗伊斯兰革命卫队 (IRGC) 有关的网络犯罪分子攻击了宾夕法尼亚州的供水设施。美国执法机构还披露，在 2019 年至 2021 年间，勒索软件团伙攻击了多个供水和废水处理设施。迄今为止，尚未有攻击影响到饮用水安全。

鉴于持续存在的风险，新的 IRG 明确了该部门可寻求援助的关键联邦合作伙伴。其中包括 CISA、EPA、FBI、国家情报总监办公室 (ODNI) 以及国土安全部情报与分析办公室 (I&A) 等实体。

事件响应指南建议

针对事件响应，新的 IRG 概述了具体实践，包括：

  • 准备：CISA 鼓励 WWS 的公共事业机构参考该机构的《网络安全绩效目标》，加强其网络安全基线。
  • 检测与分析：  联邦机构可能会向受影响的事业单位提供免费工具和服务。FBI 和 CISA 在收到报告后，可为一个组织提供现场和/或远程技术分析与支持。
  • 遏制、根除与恢复：CISA 可向 WWS 事业机构的业主和运营商提供重要信息，指导其采取防御措施，以遏制并根除其资产内的未授权威胁行为者。
  • 事后活动：CISA 及其跨机构合作伙伴可从受影响组织收集数据，进行匿名化处理，并广泛共享匿名化后的数据。这些数据可能包括相关的战术、技术和程序 (TTP)、入侵指标 (IOC) 以及其他可能支持集体防御的技术数据。
小型及农村社区面临的挑战

由于可用的资金和技术资源有限，美国水务部门被描述为目标众多，资源匮乏。而小型及农村社区的系统尤其脆弱。

众议院能源与商业委员会近期的一次听证会上，佐治亚州农村水协会主席 Rick Jeffares 表示，该国超过 91% 的社区供水系统服务人口不足一万人。据 Jeffares 所说，小型及农村社区常常“由于规模经济有限且缺乏技术专长，难以遵守复杂的联邦指令，也难以提供安全、负担得起的饮用水和卫生设施”。

Jeffares 还表示，获得联邦资金并销售或安装自动化设备的供应商应“被要求遵守 EPA 及其他机构制定的标准协议，以更好地保护水务公共事业免受网络攻击。”

听证会还强调了吸引年轻人参与的必要性。“农村水务部门一直在通过注册学徒计划开展这项工作，并且效果良好，因此我们希望扩大该计划。我们预计下一代水务操作员将具备更高水平的计算机和网络技能，”Jeffares 说。

资金缺乏问题

毫无疑问，该国水务安全工作的很大一部分将依赖于资金支持。2021 年《基础设施投资和就业法案》授权在五年内提供 2.5 亿美元，用于 EPA 向服务 1 万或以上人口社区的公共供水系统提供资助援助。该计划旨在资助支持降低水务系统网络安全风险的项目。

然而，根据塔科马水务局局长兼首席运营官 Scott Dewhirst 的说法，国会仅为此项目拨款 500 万美元。

“全额资助该计划——或至少提供接近其每年 5000 万美元授权额的拨款——将极大地增加能够利用这些资源来提升其网络防御能力的水务系统的数量，”Dewhirst 向立法者们表示。

显然，美国的供水系统正面临风险。保护性措施必须立即付诸行动。