近日，美國環(huán)境保護署（EPA）監(jiān)察長辦公室（OIG）發(fā)布了一份研究報告，在對美國1062個飲用水系統(tǒng)進行了安全性缺陷評估活動之后，結(jié)果顯示，超過300個飲用水系統(tǒng)存在系統(tǒng)漏洞，存在可能導致功能喪失、無法服務和用戶信息泄露的風險。不安全的飲用水系統(tǒng)為1.1億美國人提供服務。

安全性缺陷評估涵蓋了五個網(wǎng)絡安全類別，即電子郵件安全、IT衛(wèi)生、漏洞、對抗性威脅和惡意活動，并根據(jù)潛在影響對識別的漏洞從低到高進行評分。

數(shù)據(jù)顯示，97個系統(tǒng)存在關鍵或高風險漏洞，可能導致服務癱瘓或數(shù)據(jù)泄露，另有211個系統(tǒng)存在可被外部訪問的開放端口，盡管風險較低，但若不及時修復，仍有可能被利用。

OIG進一步表示，“如果網(wǎng)絡攻擊者利用我們在被動評估中識別的網(wǎng)絡安全漏洞，他們可能會中斷服務或?qū)︼嬘盟A設施造成無法彌補的物理損害。”

EPA還會為每個被調(diào)查對象繪制系統(tǒng)的數(shù)字足跡，涵蓋用于收集、泵送、處理、儲存和分配飲用水的基礎設施，分析超過75000個IP和14400個域名。

該報告還總結(jié)了EPA在網(wǎng)絡安全方面的不足。EPA缺乏一個集中式的事件報告系統(tǒng)，目前依賴美國網(wǎng)絡安全和基礎設施安全局（CISA）進行此類報告，這明顯限制了威脅發(fā)生時的及時溝通與協(xié)調(diào)響應能力。此外還有飲用水系統(tǒng)的管理人員缺乏足夠的網(wǎng)絡安全培訓，導致系統(tǒng)容易被黑客攻擊；許多供水系統(tǒng)陳舊過時，缺乏維護，進一步增加了網(wǎng)絡安全風險。

針對上述問題，EPA計劃利用飲用水州循環(huán)基金和大中型飲用水系統(tǒng)基礎設施恢復力與可持續(xù)性計劃，為公共供水系統(tǒng)提供培訓、技術(shù)援助和財務支持，以加強其網(wǎng)絡安全防護能力。

事實上，美國飲用水系統(tǒng)一直存在嚴重安全風險。2021年2月，黑客通過遠程控制軟件TeamViewer入侵佛羅里達州奧茲瑪市自來水廠的電腦系統(tǒng)，試圖將氫氧化鈉的含量從百萬分之100大幅提高到百萬分之111000，這直接達到了“水質(zhì)危險”的程度。

由于員工及時發(fā)現(xiàn)并干預，沒有對公眾造成實際傷害。但FBI和特勤局介入調(diào)查后，議員馬可·羅伯（Marco Rubio）要求FBI全力協(xié)助，將此案件視為國家安全問題。

再今年5月，EPA也曾警告說，超過70%的水系統(tǒng)不符合《安全飲用水法》，強調(diào)了嚴重性高的問題，例如使用默認密碼和容易受到黑客攻擊的認證系統(tǒng)，這些都大大降低了攻擊者入侵的門檻。

為此，EPA要求在各州進行公共供水系統(tǒng)的衛(wèi)生檢查時，強制納入網(wǎng)絡安全評估。供水系統(tǒng)運營商也需要制定適當?shù)氖录憫媱潱员阍跈z測和分析網(wǎng)絡事件時能夠快速、準確地報告事件并收集數(shù)據(jù)進行分析。對此，美國聯(lián)邦機構(gòu)發(fā)布了指導意見，幫助供水和廢水處理系統(tǒng)運營商更好地應對網(wǎng)絡攻擊。EPA也與CISA、FBI聯(lián)合發(fā)布指南：EPA與美國網(wǎng)絡安全和基礎設施安全局(CISA)及美國聯(lián)邦調(diào)查局(FBI)聯(lián)合發(fā)布了一項網(wǎng)絡安全實踐指南，旨在幫助城市供水和廢水處理領域的企業(yè)組織提高網(wǎng)絡安全彈性和事件響應能力。

參考來源：https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/