伊朗相關的黑客攻擊暴露了美國水系統保障的失敗 - 彭博社

Jamie Tarabay, Katrina Manson

2023-12-22

與伊朗有關的黑客攻擊是一個警鐘，已經迫使官員們努力達成至少最低安全標準的協議。

攝影師：Justin Sullivan/Getty Images去年11月底，一個與伊朗有關的黑客組織攻擊了美國常用於水和廢水行業的以色列制數字控制系統，影響了美國多個州的多個組織。

同一個月，供水給200多萬客户的北德克薩斯市政供水區成為了勒索軟件攻擊的受害者。而今年早些時候，據《華盛頓郵報》報道，與中國人民解放軍有關的黑客攻擊了夏威夷的一個水務部門。

儘管這些入侵沒有影響水質或供應，也沒有使任何關鍵功能失效，但它們都發生在美國政府與市政供水協會和政策制定者就如何最好地保護國家最關鍵資源之一免受網絡攻擊的問題上爭論不休的時候。

與伊朗有關的黑客攻擊是一個警鐘，已經迫使官員們加倍努力達成至少最低安全標準的協議。但到目前為止，實際進展甚微。

最近的事件“凸顯出我們國家的網絡安全還沒有達到需要的水平，”副國家安全顧問安妮·諾伯格在本月早些時候對記者説。她表示，白宮目前正在與國會密切合作，加強環保局的權力，以確保水務部門實施最低網絡安全實踐。

網絡與新興技術副國家安全顧問安妮·諾伯格，攝影師：Leigh Vogel/UPI/Bloomberg下一次可能會更糟。水務系統是美國基礎設施中尤其脆弱的部分，存在着薄弱的控制、不足的資金、人員短缺以及行業與政府機構之間的信任缺失。今年早些時候，環境保護局被迫撤銷了旨在要求各州評估水務設施網絡安全保護的充分性以幫助加強防禦和減輕風險的計劃。三個州的共和黨議員稱這種監管是非法的，指責環保局越權。

不到兩個月後，一個名為CyberAv3ngers的組織，美國網絡安全和基礎設施安全局稱其與伊斯蘭革命衞隊有關，瞄準了以色列公司Unitronics製造的水和廢水行業使用的數字控制設備。這些黑客尋找連接到互聯網的設備的默認密碼，禁用了用於調節水壓的數字顯示屏，並留下了一條信息：“你已被黑客攻擊，以色列下台。”

美國政府已經推動幫助保護所有公共事業基礎設施免受數字侵入的威脅，並在今年早些時候推出了一項網絡安全計劃，以加強對關鍵部門的保護，並在軟件公司的產品不符合基本標準時使其承擔法律責任。

但水務部門比其他部門更為棘手，因為全國有大約15萬個活躍的公共供水系統。其中，97%為服務於1萬人或更少的社區，並且人員配備很少。其中許多依賴於州或地方政府的微薄資金，幾乎沒有投資於技術專業知識。

賓夕法尼亞州阿利奎帕市的Unitronics設備被黑客攻擊，攻擊發生在11月25日。來源：阿利奎帕市自來水管理局大約為匹茲堡周圍的1.5萬人提供服務的阿利奎帕市自來水管理局成為與伊朗有關的黑客組織攻擊的中心。自從哈馬斯於10月7日襲擊以色列以來，網絡安全專家已經預料到伊朗支持的黑客和親巴勒斯坦黑客的活動將增加。

網絡攻擊不僅限於賓夕法尼亞州西部的小型自來水管理局，還使使用相同設備的其他行業變得脆弱，這些設備可以在能源、食品和飲料製造以及醫療保健領域找到，根據CISA的説法。據一位知情人士稱，至少有10個與水有關的運營受到了CyberAv3ngers的攻擊。

這就是為什麼新澤西州的一家小型精釀啤酒廠成為了伊朗革命衞隊全球黑客行動的意外受害者。家族經營的弗萊啤酒公司表示，由於CyberAv3ngers的攻擊，他們被迫停止釀造淡啤酒和拉格啤酒幾天，突顯了美國分散的水系統面臨的更廣泛風險。

“我們是一個小型家庭經營的企業（真的），受到了世界另一端的一場戰爭的影響，”與妻子Colleen一起經營這家釀酒廠的Mike Frye在一封電子郵件中説道。“我們在安全方面有所疏忽，這讓我們頭疼了幾天，”Frye説。

據兩位熟悉會議情況的人透露，白宮官員和EPA工作人員本月早些時候與水協會代表舉行了會議，討論如何最好地加強未來的防禦工作，尼伯格（Neuberger）領導了這次會議，這兩位知情人士要求不透露身份討論私人對話。

據稱，水協會同意向水務運營商傳達如何滿足基本的網絡安全標準的信息。但據一位知情人士透露，關於在例行檢查中要求強制性的網絡安全檢查或其他技術細節，包括潛在的聯邦或州援助等問題的討論更為粗略，並沒有採取任何行動。

“自911事件以來，我們最擔心的事情就是有人向供水系統中投放病原體或某種化學生物製劑，”退役的海軍後勤支援司令Mark MontgomeryMark Montgomery説道，他是民主防禦基金會（Foundation for Defense of Democracies）的網絡與技術創新中心的高級主任。

Montgomery和其他人已經為立法提出了建議，其中包括為農村供水運營商提供技術援助以及為更大的系統提供風險和恢復計劃。但是，這些措施原本計劃包括在農業部法案中，但由於立法者在其他問題上爭執不下，這些措施目前擱置不前。與此同時，拜登政府希望各州能利用現有資源來改善脆弱水系統的網絡安全——通過利用《兩黨基礎設施法》中的資金，這是國家安全委員會發言人的説法。

環保局與水協會之間的討論多年來一直充滿了爭吵，據熟悉討論的人士稱，該機構在三月份推出了一項提案，而水行業則反覆表示這是不可行的，也沒有法律依據。

熟悉討論的人描述會議為“緊張”，協會成員表示他們在一些會議上感到“被説教”而不是被傾聽。環保局表示他們已經“廣泛參與”利益相關者，“以建立共同的認識，瞭解問題並解決關切。”

自環保局在十月份撤回了其提出的計劃後，水協會和聯邦機構之間的溝通很少，州飲用水管理者協會執行董事Alan Roberson表示。環保局在一份聲明中表示，他們每月與“水務部門的相關成員”進行會議，通常包括來自各個國家水協會的代表。最近一次通話是在十一月初。

“我們必須取得更多進展，”Neuberger上週在華盛頓的一次安全會議的間隙表示。“我認為所有途徑都在考慮之中。”