伊利諾斯州供水公用事業(yè)部門遭黑客攻擊的報道受到了公眾的關(guān)注，社會提出了這樣一個問題：美國在重要基礎(chǔ)設(shè)施上安裝的識別網(wǎng)絡(luò)攻擊的報告系統(tǒng)很糟糕，相關(guān)部門還需要重新思考這個問題。

美國聯(lián)邦調(diào)查局(FBI)和國土安全部(DHS)均表示，沒有證據(jù)表明伊利諾斯州供水系統(tǒng)水泵出現(xiàn)故障是因為遭受了黑客攻擊。

自從2000年以來，國土安全部一直鼓勵各個州和城市建立所謂的“Fusion Centers”(融合中心)。這個中心在本地政府控制下運行，收集電力供水等有可能與國家安全有關(guān)的數(shù)據(jù)。

據(jù)國土安全部稱，美國目前有72個融合中心，各個中心都采取不同的方法。11月10日，眾多融合中心當中的一個——伊利諾斯州恐怖主義和情報中心(STIC)發(fā)布了一個簡短的題為“公共供水系統(tǒng)網(wǎng)絡(luò)入侵”的報告后，這個報告就引起了爭議，突顯了目前美國重要基礎(chǔ)設(shè)施安全反應系統(tǒng)工作方式的弱點。

來自伊利諾斯州STIC的報告稱，伊利諾斯州某公司用于控制水泵的SCADA(監(jiān)視控制與數(shù)據(jù)采集)系統(tǒng)遭到了來自俄羅斯的網(wǎng)絡(luò)攻擊，導致水泵反復打開和關(guān)閉，進而被燒毀。此外，STIC報告稱，某個信息技術(shù)服務公司在檢查了SCADA系統(tǒng)之后認為，黑客攻擊該SCADA系統(tǒng)已經(jīng)長達數(shù)月并且設(shè)法獲取了用戶名和口令。

這個STIC報告已經(jīng)發(fā)送給國土安全部進行審查。國土安全部稱，這是一個例行性的程序。但是，國土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應急響應小組(ICS-CERT)后來說，其在11月16日才知道這篇報告。

這篇報告是在與伊利諾斯州STIC有關(guān)的部門之間共享的，屬于保密級的。但是，與伊利諾斯州STIC有關(guān)的一家公用事業(yè)公司運營者受到了這篇報告的困擾并且在尋求得到指導意見。他向應用控制解決方案部門負責人、知名的能源行業(yè)專家喬·韋斯(Joe Weiss)披露了這個情況。

韋斯在自己的博客中公布這篇報告后，引起了媒體大爆發(fā)。華盛頓郵報和其它新聞媒體稱這個事件可能是對美國重要基礎(chǔ)實施進行的最為嚴重的網(wǎng)絡(luò)攻擊。

經(jīng)過媒體大肆報道，國土安全部和FBI就要與ICS-CERT協(xié)調(diào)公開解釋他們?nèi)绾闻徘惨粋€小組去伊利諾斯州供水部門展開調(diào)查。聯(lián)邦政府首次提到這個部門的名字是在伊利諾斯州斯普林菲爾德的Curran-Gardner鎮(zhèn)公共供水區(qū)。這個部門為2000多個用戶服務。

ICS-CERT在11月23日發(fā)布的一個公告稱，該部門在11月16日獲悉伊利諾斯州STIC的報告后，就立馬派人去STIC收集額外信息。ICS-CERT獲得了一個記錄文件。然而，最初的分析不能證明有任何證據(jù)支持曾發(fā)生網(wǎng)絡(luò)入侵的說法。

Curran-Gardner本身不愿意討論此事。但是，國土安全部和FBI現(xiàn)在稱，在詳細分析之后，國土安全部和FBI沒有發(fā)現(xiàn)伊利諾斯州斯普林菲爾德的Curran-Gardner鎮(zhèn)公共供水區(qū)的SCADA系統(tǒng)遭到網(wǎng)絡(luò)入侵的證據(jù)。

華盛頓郵報也報道了這個事情并且后來引述某個知情人士的話說，遠程訪問SCADA是Curran-Gardner的一個承包商實施的。他當時碰巧在俄羅斯。

這個承包商的名字是Jim Mimlitz，是Navionics Research公司的創(chuàng)始人和老板。他現(xiàn)在公開表示，他今年6月曾在俄羅斯休假并且應Curran-Gardner的要求遠程訪問了SCADA系統(tǒng)。他說，他沒有向他們提到他在俄羅斯休假。

目前還不清楚這個在6月份發(fā)生的事情在CERT的報告中如何被認為是在11月發(fā)生的黑客事件。韋斯向《網(wǎng)絡(luò)世界》逐字逐句地閱讀了這個報告。這篇報告缺少有關(guān)可能的入侵的細節(jié)、與SCADA有關(guān)的問題和實際發(fā)生了什么事情。

國土安全部最終的結(jié)論是：沒有任何證據(jù)支持最初的報告中的說法，沒有任何證書被竊或者沒有任何廠商參與導致那個水廠水泵故障的惡意活動。這個報告是以未經(jīng)證實的數(shù)據(jù)為基礎(chǔ)的并且隨后泄露給了媒體。此外，國土安全部和FBI還做出結(jié)論稱，沒有像以前報告的那樣有來自俄羅斯或者任何外國實體的惡意通訊。

但是，國土安全部確實補充說，對于這個事件的分析仍在進行之中。在有結(jié)果后將發(fā)布額外的相關(guān)信息。

一些安全專家指出，他們發(fā)現(xiàn)一個SCADA承包商能夠從俄羅斯遠程訪問美國設(shè)施的SCADA系統(tǒng)這個事情應該受到譴責。

Unisys網(wǎng)絡(luò)安全產(chǎn)品組合解決方案部門主管安德烈·艾迪(Andre Eaddy)說，這毫無疑問是一種糟糕的安全做法，可能是這次調(diào)查中最糟糕的信息。大多數(shù)機構(gòu)都會限制來自某些國家的通訊，特別是來自俄羅斯和中國的通訊。那是因為有許多與惡意軟件有關(guān)的攻擊來自于這些國家。不值得冒這個風險。甚至攜帶包含承包商信息的筆記本電腦到那里去也被認為是不安全的。

韋斯說，承包商能夠從俄羅斯直接訪問一個SCADA系統(tǒng)是令人震驚的。但是，最大的問題是我們沒有控制系統(tǒng)證據(jù)和記錄。這意味著很難準確地了解在發(fā)生了可能的突破事件之后發(fā)生了什么事情，在什么地方和什么時候發(fā)生的。

韋斯指出，在整個事件中，伊利諾斯州STIC融合中心發(fā)布了一個非常直接的報告，沒有表明這個報告是初步的和沒有經(jīng)過證實的。這個報告包含了爆炸性的信息。這個事件表明美國重要信息報告系統(tǒng)是多么糟糕。

韋斯說，伊利諾斯州的說法是極為恐怖的。很難理解ICS-CERT、國土安全部和FBI在一個多星期之后才介入此事并且說這個報告是錯誤的。韋斯還指出，各個融合中心都報告不同的事情。這些報告在提交給華盛頓的國土安全部之前似乎都在本地傳播。韋斯不清楚這些融合中心為什么在沒有搞清楚事情是否正確就發(fā)布報告。

韋斯認為，聯(lián)邦政府協(xié)調(diào)的部門Water-ISAC和水公用事業(yè)部門應該獲悉伊利諾斯州STIC的報告。

業(yè)界一些人士認為韋斯公開披露伊利諾斯州STIC報告有些越界了。但是，韋斯說，他與這篇報告沒有任何官方聯(lián)系并且沒有任何為這個文件保密的義務。

11月23日，國土安全部下屬ICS-CERT部門發(fā)布一個有關(guān)“伊利諾斯州水泵故障報告”的安全公告，指出沒有任何證據(jù)支持最初的STIC報告中的說法。那篇報告是以未經(jīng)證實的數(shù)據(jù)為基礎(chǔ)的并且后來泄露給媒體。沒有任何證書被竊或者沒有廠商參與導致那個水廠的水泵故障的任何惡意活動。

ICS-CERT沒有提到韋斯的名字，指出公告討論對于它的例行性的流程的影響。這個流程一般是保密的。公開披露受影響的單位名字和事件信息是不同尋常的，不是ICS-CERT正常的事件報告和分類流程的一部分。在這個案例中，由于未經(jīng)證實的信息已經(jīng)泄露給公眾，ICS-CERT以及這個資產(chǎn)擁有者/運營者都認為，協(xié)作分析所有可用的數(shù)據(jù)和披露分析結(jié)果對于這個社區(qū)是最有利的。

國土安全部的消息人士稱，對于融合中心的總的看法是它們只是收集信息的地方。國土安全部是驗證這個信息合法性的最權(quán)威的部門。融合中心不僅包括重要基礎(chǔ)設(shè)施公司，而且還包括私營部門的合作伙伴。例如，思科稱它屬于許多融合中心，如果檢測到嚴重的惡意攻擊，它會立即提供信息。

國土安全部通過聯(lián)邦應急管理局(FEMA)授權(quán)向融合中心提供資金，但是，期待州和本地政府贊助一個中心承擔基本的財務和管理職能。國土安全部承認，融合中心在活動和做法方面有很大不同，盡管自從2008年以來一直努力推動建立基本的智能和通用的工具集。

然而，國土安全部現(xiàn)在不能確切地解釋要求企業(yè)報告什么異常情況或者安全事件。

Gartner分析師約翰·佩斯卡托雷(John Pescatore)在談到融合中心時說，現(xiàn)在，這不是一個好的模式。不僅情報收集功能要改進，而且還要提供更多的來自其它渠道的預防性信息，幫助私營行業(yè)的企業(yè)確切地了解真正的威脅。