CISA、FBI、EPA 为水系统运营商提供网络安全指南

经过一番停顿后，美国联邦机构发布了指导意见，帮助供水和废水处理系统运营商更好地应对网络攻击，这是威胁行为者越来越多地针对该行业的重要一步。

该文件由环境保护局 (EPA)、联邦调查局 (FBI) 以及网络安全和基础设施安全局 (CISA) 共同编写，涉及从提高系统弹性到检测、分析和遏制网络事件发生等各个方面。

它还提供了事件发生后该怎么做的提示，包括保留证据、收集数据以及分析发生的情况和他们的反应。

该指南于本月发布，是在过去几年发生针对供水和废水处理行业的网络事件之后发布的，最近一次发生在 2023 年 11 月，宾夕法尼亚州的一个市政系统遭到与伊朗有关的网络攻击。网络复仇者组织。

美国环保局水务助理局长拉迪卡·福克斯 (Radhika Fox) 在一份声明中表示，对水务部门的网络威胁对我们国家所依赖的安全饮用水和废水处理服务构成了真正而紧迫的风险。 事件响应指南帮助公用事业公司与联邦实体合作，降低我国饮用水和废水系统的网络风险。

供水系统是一个持续的目标

美国国内外的供水系统运营商都是不良行为者的目标。拥有 250 万自来水客户和 470 万废水处理客户的英国运营商 Southern Water 本周表示，它成为了臭名昭著的勒索软件组织 Black Basta 的受害者，据报道，该组织泄露了它声称窃取的一些数据，例如个人信息客户的家庭地址、电子邮件地址和出生日期等信息都在其泄露的网站上。

拜登政府强调加强国家16 个关键基础设施部门的网络安全，其中包括供水系统。本月早些时候，美国国土安全部监察长在一份报告中表示，CISA 需要推动包括 EPA 在内的联邦机构和供水系统运营商之间的合作，以提高该行业的弹性。

报告指出，该国约有 50,000 个社区供水系统和 16,000 多个公有废水处理系统。

美国环保署去年初命令各州开始评估其公共供水系统的安全状况。然而，在密苏里州、爱荷华州和阿肯色州以及美国水务协会 (AWWA) 和国家农村水协会 (NRWA) 向联邦法院提出法律质疑后，该机构于 7 月搁置了该命令，并于10 月撤销了该命令。美国环保局（EPA）越权了。

原告一致认为供水系统需要强大的网络安全，但质疑他们认为美国环保局的高压举措。

共同努力

CISA、FBI 和 EPA 与二十多个实体合作制定最新指南。其中包括 AWWA 和州饮用水管理员协会等水协会、华盛顿特区、加利福尼亚州东湾市政公用事业区和其他地方的系统运营商，以及 Google 旗下的 Mandiant、微软和 Tenable 等网络安全公司。

该指南强调系统运营商需要制定适当的事件响应计划。在检测和分析方面，操作人员需要快速、准确地报告事件并收集数据进行分析。该指南包括用于验证和报告事件的信息以及用于分析数据的资源。

联邦机构将专注于协调消息传递、共享信息并帮助进行补救和缓解。事件发生后，“证据保留、使用收集到的事件数据和吸取的教训是正确分析事件以及响应人员如何处理事件的首要要素，”这些机构写道。

攻击不断增加

过去几年发生了多起针对供水系统的网络事件。 2021 年，堪萨斯州 Post Rock 农村水区的一名前雇员被联邦执法部门指控远程访问供水系统并将其关闭。同年晚些时候，有人进入佛罗里达州奥兹马尔的供水系统，试图将氢氧化钠浓度提高到正常水平的 100 倍以上，从而对其造成毒害。

2023 年 11 月，Cyber​​ Av3ngers 对一起事件负责，攻击者控制了宾夕法尼亚州阿里基帕市政水务局内的一个系统，该系统用于监测附近城镇的水压。饮用水没有受到威胁，但系统已离线，工作需要手动完成。

据报道，Cyber​​ Av3ngers 是一名亲巴勒斯坦人，与伊朗伊斯兰革命卫队有联系，有攻击水、电和运输等关键基础设施的记录，有时还会针对以色列制造的 SCADA 系统。

在 Aliquippa 供水系统遭受攻击后，CISA 发布了一份公告，警告称威胁组织正试图利用供水系统使用的可编程逻辑控制器 (PLC) 来监控水处理过程。在宾夕法尼亚州的攻击中，Cyber​​ Av3ngers 针对的是以色列公司 Unitronics 开发的 PLC。