水务设施沦为美国最容易被黑的关基设施

　　美国水务信息共享与分析中心最新调查报告显示，530多家水务企业在IT/OT资产管理方面普遍存在不同程度的问题；

　　美国网络与基础设施安全局数据显示，水厂上报的超80%漏洞为2017年前就披露过的老漏洞；

　　全美5万多家水务设施大部分是非盈利机构，特别是农村地区的工厂，可能只有少数几位不了解网络安全的普通员工。

　　超过六成的水务公司表示，尚未完成对IT网络资产组成的全面评估，只有约21%的水务公司正在努力进行资产梳理。

　　此外，约70%的受访者表示，运营技术（OT）网络资产的评估同样没有全面完成，只有不足四分之一受访者正在积极推动这项工作。

　　从美国水务信息共享与分析中心（Water-ISAC）近日公布的最新调查报告可以看到，530多家水务企业在IT/OT资产管理方面普遍存在不同程度的问题。

　　就在调查结果发布的同天，NBC新闻首次披露报道，今年1月有黑客轻松入侵旧金山湾区一家水处理厂。攻击者使用某位前任雇员的凭证安装一款常见的远程办公软件之后，顺利掌握了网络访问权。

　　在这起事件数周前，佛罗里达州一家水处理厂因为操作系统陈旧及远程办公软件存在漏洞被恶意篡改化学成分，登上了美国各大媒体的头条新闻。

　　在水务信息共享与分析中心组织的这次调查中，只有4家组织确认其IT/OT系统曾在过去一年内遭到入侵，另有数十家组织表示他们“不确定”是否发生过安全事故。

　　美国农村水务协会分析师Mike Keegan说，“鉴于不同水务公司的规模、能力和技术能力各不相同，很难对正在发生的攻击有很好的评估。”

　　在美国所有关键基础设施中，水设施可能是最容易被攻击的。与只有少数盈利公司经营的电网不同，全美5万多家水务设施大部分是非盈利机构，特别是农村地区的工厂，可能只有少数几位不了解网络安全的普通员工。

　　在科洛尼尔燃油管道公司遭受攻击之后，美国众议院和参议院的议员们曾多次质疑相关官员，认为网络安全与基础设施安全局（CISA）应该在天然气与石油行业的网络安全问题上发挥更重要的监管作用。

　　截至目前，网络与基础设施安全局只能在私营企业申请时提供协助。虽然国会立法授予该机构发布传票获取资产所有者联络信息的权力，但除了向联邦机构范围内的政府网络设施发布紧急指令外，该局仍然缺乏必要的监管权力。

　　根据网络与基础设施安全局整理并发布的水务行业相关数据，约10%的水务公司曾经上报严重漏洞、40%上报过高危漏洞。而由水厂上报的大部分安全漏洞（超过80%）为2017年之前就已经披露过的CVE漏洞。

　　近日，水务信息共享与分析中心向成员机构发布了一份6个老漏洞清单，并强调“目前有多起上报提到，攻击者正利用这些漏洞入侵未经安全修复的水务及废水处理系统。”

　　责任编辑：广汉