【大紀元2024年05月23日訊】(英文大紀元記者Jana J. Pruet報導/鐘心萍編譯)美國環保署(EPA)週一警告稱,針對美國水務公司的網路攻擊正變得越來越頻繁和嚴重。該機構發布了一份執法警報,敦促供水系統立即採取行動保護國家的飲用水。
EPA表示,自2023年9月以來,聯邦官員檢查的水務公司中約有70%違反了防止入侵的標準。官員們敦促所有供水系統——無論規模大小——都要改進措施以防範黑客。最近,一些較小的社區成為了俄羅斯和伊朗相關組織的目標。
警報稱,一些水務公司未能採取基本措施來保護其公共供水系統。
EPA表示:「例如,一些供水系統未能更改基本密碼,對所有員工使用單一登錄,或未能限制前員工的訪問權限。」
該機構強調保護供水系統內的資訊技術和流程控制至關重要,因為這些系統通常依賴計算機軟件來操作處理廠和分配系統。網路攻擊有可能造成中斷,影響水處理和儲存、損壞泵和閥門,並將化學物質濃度改變至危險量。
「在許多情況下,系統沒有按要求完成他們應該做的事情,即完成對其漏洞的風險評估,包括網路安全,並確保計劃可用並指導其業務運作,」EPA副局長Janet McCabe說。
企圖侵入水務供應商的網路、關閉或破壞網站並不新鮮,但最近,攻擊者不僅破壞了網站,還針對公用事業的營運。
地緣政治對手
該機構表示,最近對水務公司的攻擊與美國的地緣政治對手有關,他們的目的是破壞家庭和企業的安全供水。
McCabe將中國、俄羅斯和伊朗列為「正在積極尋求使美國關鍵基礎設施癱瘓的國家,包括水和廢水處理設施」。
2023年末,一個與伊朗有聯繫、被稱為「網路復仇者」(Cyber Av3ngers)的組織攻擊了多個供應商,包括賓州一個小鎮的供水商,迫使其從遠端泵切換到手動操作。他們瞄準了該水務公司在哈馬斯-以色列戰爭後使用的一種以色列製造的設備。
今年早些時候,德州的幾家自來水務公司成為了一個與俄羅斯有關聯的「黑客活動分子」的目標。
美國官員表示,中國網路組織Volt Typhoon已經破壞了美國及其領土上多個關鍵基礎設施系統的資訊技術,其中包括飲用水。
「通過與這些黑客活動團體在幕後合作,現在這些(國家)有了合理的否認藉口,他們可以讓這些團體進行破壞性攻擊。對我來說,這改變了遊戲規則,」風險管理公司Dragos Inc.的網絡安全專家Dawn Cappelli說。
EPA的執法警報強調了網路威脅的嚴重性,並通知水務公司,EPA計劃繼續進行檢查,並對嚴重違規行為追究民事或刑事責任。
「我們希望確保向人們傳達這樣的訊息:『嘿,我們在這裡發現了很多問題,』」McCabe說。
打擊網路攻擊
EPA局長Michael Regan和白宮國家安全顧問Jake Sullivan已要求各州制定相應的計劃,以打擊對國家供水系統的網路攻擊。
他們在3月18日致所有50名美國州長的聯名信中寫道:「飲用水和廢水處理系統是網路攻擊的一個有吸引力的目標,因為它們是生命線關鍵基礎設施部門,但往往缺乏採取嚴格網路安全措施的資源和技術能力。」
McCabe表示,有一些簡單的修復措施,例如停止使用默認密碼,但他們還需要制定風險評估計劃來解決網路安全問題並創建備份系統。
資源較少的小型水務公司可以獲得免費的幫助和培訓,以幫助他們抵禦黑客。
「在理想的情況下,我們希望每個人都擁有網路安全的基線水平,並能夠確認他們達到這一水平,」州飲用水管理員協會執行董事Alan Roberson說。「但這還有很長的路要走。」
有限的資源
美國約有50,000個社區供水商,其中大部分為小城鎮提供服務。許多企業的預算和人員有限,因此維持基本運作(例如分配清潔水和遵守法規)具有挑戰性。
「當然,網路安全是其中的一部分,但這從來都不是他們的主要專長,」德州理工大學的水專家Amy Hardberger說。「所以,現在你在要求一家水務公司開發一個全新的部門。」
2023年3月,EPA指示各州將網路安全評估納入水務公司的定期績效審查。如果發現問題,州政府應該強制改進。
這些指示在法庭上受到阿肯色州、密蘇裡州和愛荷華州以及美國水舞協會(AWWA)和另一個水工業組織的質疑,認為EPA沒有《安全飲用水法》規定的權力。
EPA撤回了要求,但敦促各州採取自願行動。
《安全飲用水法》要求某些供水商制定並認證針對某些特定威脅的計劃,但其權力有限。
「法律中沒有關於(網路安全)的授權,」Roberson說。
AWWA聯邦關係經理Kevin Morley表示,水務公司通常擁有連接到網路的元件,這使得它們容易受到網路攻擊。檢修這些系統可能具有挑戰性且成本高昂。他解釋說,如果沒有大量的聯邦援助,許多公司將很難找到資源。
該組織發布了建立一個由網路安全和水專家組成的新組織的指南,該組織可以制定新政策並與EPA合作執行這些政策。
Morley說:「讓我們以合理的方式讓每個人都參與其中。」他補充說,小型和大型水務公司有不同的需求和資源。
