美国水务系统沦为美国网络安全最薄弱的关键基础设施

根据美国水信息共享与分析中心的最新调查报告,530多家水务公司在IT/OT资产管理方面存在不同程度的问题。

根据美国网络和基础设施安全管理局(US Network and Infrastructure Security Administration)的数据,水厂报告的漏洞中80%以上是2017年之前披露的旧漏洞。

美国有5万多家自来水公司,其中大多数是非营利性的,尤其是那些位于农村地区的工厂,那里可能只有少数不懂网络安全的普通员工。

美国水务系统沦为美国网络安全最薄弱的关键基础设施

超过六成的水务企业表示,它们尚未完成对其IT网络资产构成的全面评估,而只有约21%的企业在努力梳理自己的资产。

此外,约70%的受访者表示,运营技术(OT)网络资产的评估也未完全完成,积极开展这项工作的受访者不足四分之一。

根据水信息共享和分析中心(Water-ISAC)最近发布的一项新调查,530多家水务公司经历了不同程度的IT/OT资产管理问题。

调查结果公布的同一天,NBC新闻(NBC News)首次披露,今年1月,黑客轻而易举地侵入了旧金山湾区的一家水处理厂。攻击者利用一名前雇员的身份证明,通过安装一个公共远程办公程序,进入了该网络。

几周前,美国佛罗里达州的一家水处理厂因操作系统过时和远程办公软件存在漏洞而被篡改化学成分,成为美国媒体的头条新闻。

美国水务系统沦为美国网络安全最薄弱的关键基础设施

在水务信息共享与分析中心(Water Information Sharing and Analysis Centre)的调查中,只有4家机构证实,它们的IT/OT系统在过去一年中遭到了破坏,另有数十家机构表示,它们“不确定”是否发生了安全事故。

美国农村水务协会的分析师Mike Keegan说:“考虑到不同供水公司的规模、能力和技术能力,很难对目前的情况做出准确的估计。”

在美国所有的关键基础设施中,水可能是最脆弱的。与仅由少数几家盈利公司运营的电网不同,全国约5万家自来水公司中的大多数都是非营利性的,尤其是农村地区的工厂,那里可能只有少数不懂网络安全的普通员工。

在殖民输油管道攻击事件发生后,美国参众两院议员多次质疑网络安全和基础设施安全局(CISA)是否有必要在天然气和石油行业的网络安全方面发挥更大的监管作用。

到目前为止,网络和基础设施安全局(Cyber and Infrastructure Security Agency,简称nsa)只能帮助私营企业开发应用程序。尽管国会立法赋予该机构发出传票、索取资产所有者联系信息的权力,但除了向联邦机构的政府网络设施发布紧急命令之外,该机构仍缺乏必要的监管权力。

根据网络和基础设施安全管理局编制和发布的水务行业数据,约10%的水务公司报告了严重漏洞,40%报告了高风险漏洞。水厂报告的大部分安全漏洞(超过80%)是2017年之前披露的CVE漏洞。

水信息共享与分析中心(Center for Water Information Sharing and Analysis)最近发布了一份针对其成员组织的6个旧漏洞清单,强调“有多起攻击者利用这些漏洞侵入不安全的水和废水处理系统的报告”。

美国水务系统沦为美国网络安全最薄弱的关键基础设施

极牛网精选文章《美国水务系统沦为美国网络安全最薄弱的关键基础设施》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/14177.html

发表评论

登录后才能评论