对关键基础设施的风险是网络安全行业长期以来不断加剧的担忧。研究人员、企业安全官员和政府专家担心,能源生产商、公用事业公司和供水系统缺乏安全方面的人力和投资。
随着工业控制系统暴露于开放的互联网并通过自动化与IT系统连接,风险也在增加。
根据2021年的数据,2020年工业控制系统暴露了893个漏洞,同比增长25%工业网络安全公司Claroty。关键的制造业、能源(包括电力、石油和天然气)以及水和废水报告的脆弱性最大。
穆迪投资者服务公司(Moody's Investors Service)表示,近年来,石油和天然气行业越来越依赖数字技术来简化作业流程,这增加了容易受到网络攻击的表面。
作为殖民地管道慢慢恢复了全部服务在上周的勒索软件攻击之后,拜登政府、安全研究人员和行业分析人士正努力弄清楚,一个与俄罗斯有关联的勒索软件团伙“黑暗面”(DarkSide)究竟是如何破坏这一大规模管道操作的。
这次袭击暴露了多年来的投资不足和不作为,拖延了对能源、公用事业、供水和其他迫切需要额外保护以抵御复杂的民族国家和犯罪对手的能源、公用事业、供水和其他系统的改进。
穆迪投资者服务公司副总裁Leroy Terrelonge表示:“对Colonial Pipeline的勒索软件攻击表明,网络安全是一个日益增长的信用风险,它可能导致美国关键基础设施的运营中断。”“随着数字技术简化操作,能源领域的网络攻击不断增加,石油、天然气、电力和可再生能源参与者将继续增加网络投资,以减轻这些日益增长的威胁。”
参差不齐的记录
印第安纳大学(Indiana University)网络安全和互联网管理项目主任斯科特·沙克尔福德(Scott Shackelford)说,美国在确保关键基础设施安全方面的准备一直不完善。
他说,“国土安全部总共确认16个这样的部门,从金融公司到水务公司”为关键基础设施。他说:“事实上,美国经济的绝大部分现在已经被认定为‘危急’。现在的问题是,如果所有的经济都处于危急状态,那么还有什么经济处于危急状态呢?”
关键基础设施的高管多年来就知道,自动化和暴露在公共互联网上,将使他们更容易成为恶意攻击的目标。
在日益增长的网络安全担忧中,来自美国的数据显示,针对关键基础设施的勒索软件攻击稳步增加天普大学。该大学记录了2020年针对关键基础设施的396次勒索软件攻击,同比增长93%。
罗克韦尔自动化公司全球安全副总裁兼首席信息安全官Dawn Cappelli表示:“在2020年和2021年期间,针对工业控制系统的网络攻击迅速增加。“其中大多数是出于经济动机的团体发起的勒索软件攻击,从公司的主网络扩散到工业控制系统运营网络。”
卡佩里在一封电子邮件中说,目前的运营技术还没有信息技术安全那么成熟。许多公司缺乏重要的安全项目,包括全面的资产清单、防火墙和网络分割等保护技术、检测异常或恶意网络活动的工具,或训练有素的安全人员来应对攻击。
她说:“拥有OT环境的公司的ciso应该立即为他们的融合IT/OT基础设施创建一个全面的网络安全战略,如果他们还没有这样做的话。”“这需要一个由IT、安全和OT工程师组成的跨职能团队。”
