伊朗相关的黑客攻击暴露了美国水系统保障的失败 - 彭博社

Jamie Tarabay, Katrina Manson

2023-12-22

与伊朗有关的黑客攻击是一个警钟，已经迫使官员们努力达成至少最低安全标准的协议。

摄影师：Justin Sullivan/Getty Images去年11月底，一个与伊朗有关的黑客组织攻击了美国常用于水和废水行业的以色列制数字控制系统，影响了美国多个州的多个组织。

同一个月，供水给200多万客户的北德克萨斯市政供水区成为了勒索软件攻击的受害者。而今年早些时候，据《华盛顿邮报》报道，与中国人民解放军有关的黑客攻击了夏威夷的一个水务部门。

尽管这些入侵没有影响水质或供应，也没有使任何关键功能失效，但它们都发生在美国政府与市政供水协会和政策制定者就如何最好地保护国家最关键资源之一免受网络攻击的问题上争论不休的时候。

与伊朗有关的黑客攻击是一个警钟，已经迫使官员们加倍努力达成至少最低安全标准的协议。但到目前为止，实际进展甚微。

最近的事件“凸显出我们国家的网络安全还没有达到需要的水平，”副国家安全顾问安妮·诺伯格在本月早些时候对记者说。她表示，白宫目前正在与国会密切合作，加强环保局的权力，以确保水务部门实施最低网络安全实践。

网络与新兴技术副国家安全顾问安妮·诺伯格，摄影师：Leigh Vogel/UPI/Bloomberg下一次可能会更糟。水务系统是美国基础设施中尤其脆弱的部分，存在着薄弱的控制、不足的资金、人员短缺以及行业与政府机构之间的信任缺失。今年早些时候，环境保护局被迫撤销了旨在要求各州评估水务设施网络安全保护的充分性以帮助加强防御和减轻风险的计划。三个州的共和党议员称这种监管是非法的，指责环保局越权。

不到两个月后，一个名为CyberAv3ngers的组织，美国网络安全和基础设施安全局称其与伊斯兰革命卫队有关，瞄准了以色列公司Unitronics制造的水和废水行业使用的数字控制设备。这些黑客寻找连接到互联网的设备的默认密码，禁用了用于调节水压的数字显示屏，并留下了一条信息：“你已被黑客攻击，以色列下台。”

美国政府已经推动帮助保护所有公共事业基础设施免受数字侵入的威胁，并在今年早些时候推出了一项网络安全计划，以加强对关键部门的保护，并在软件公司的产品不符合基本标准时使其承担法律责任。

但水务部门比其他部门更为棘手，因为全国有大约15万个活跃的公共供水系统。其中，97%为服务于1万人或更少的社区，并且人员配备很少。其中许多依赖于州或地方政府的微薄资金，几乎没有投资于技术专业知识。

宾夕法尼亚州阿利奎帕市的Unitronics设备被黑客攻击，攻击发生在11月25日。来源：阿利奎帕市自来水管理局大约为匹兹堡周围的1.5万人提供服务的阿利奎帕市自来水管理局成为与伊朗有关的黑客组织攻击的中心。自从哈马斯于10月7日袭击以色列以来，网络安全专家已经预料到伊朗支持的黑客和亲巴勒斯坦黑客的活动将增加。

网络攻击不仅限于宾夕法尼亚州西部的小型自来水管理局，还使使用相同设备的其他行业变得脆弱，这些设备可以在能源、食品和饮料制造以及医疗保健领域找到，根据CISA的说法。据一位知情人士称，至少有10个与水有关的运营受到了CyberAv3ngers的攻击。

这就是为什么新泽西州的一家小型精酿啤酒厂成为了伊朗革命卫队全球黑客行动的意外受害者。家族经营的弗莱啤酒公司表示，由于CyberAv3ngers的攻击，他们被迫停止酿造淡啤酒和拉格啤酒几天，突显了美国分散的水系统面临的更广泛风险。

“我们是一个小型家庭经营的企业（真的），受到了世界另一端的一场战争的影响，”与妻子Colleen一起经营这家酿酒厂的Mike Frye在一封电子邮件中说道。“我们在安全方面有所疏忽，这让我们头疼了几天，”Frye说。

据两位熟悉会议情况的人透露，白宫官员和EPA工作人员本月早些时候与水协会代表举行了会议，讨论如何最好地加强未来的防御工作，尼伯格（Neuberger）领导了这次会议，这两位知情人士要求不透露身份讨论私人对话。

据称，水协会同意向水务运营商传达如何满足基本的网络安全标准的信息。但据一位知情人士透露，关于在例行检查中要求强制性的网络安全检查或其他技术细节，包括潜在的联邦或州援助等问题的讨论更为粗略，并没有采取任何行动。

“自911事件以来，我们最担心的事情就是有人向供水系统中投放病原体或某种化学生物制剂，”退役的海军后勤支援司令Mark MontgomeryMark Montgomery说道，他是民主防御基金会（Foundation for Defense of Democracies）的网络与技术创新中心的高级主任。

Montgomery和其他人已经为立法提出了建议，其中包括为农村供水运营商提供技术援助以及为更大的系统提供风险和恢复计划。但是，这些措施原本计划包括在农业部法案中，但由于立法者在其他问题上争执不下，这些措施目前搁置不前。与此同时，拜登政府希望各州能利用现有资源来改善脆弱水系统的网络安全——通过利用《两党基础设施法》中的资金，这是国家安全委员会发言人的说法。

环保局与水协会之间的讨论多年来一直充满了争吵，据熟悉讨论的人士称，该机构在三月份推出了一项提案，而水行业则反复表示这是不可行的，也没有法律依据。

熟悉讨论的人描述会议为“紧张”，协会成员表示他们在一些会议上感到“被说教”而不是被倾听。环保局表示他们已经“广泛参与”利益相关者，“以建立共同的认识，了解问题并解决关切。”

自环保局在十月份撤回了其提出的计划后，水协会和联邦机构之间的沟通很少，州饮用水管理者协会执行董事Alan Roberson表示。环保局在一份声明中表示，他们每月与“水务部门的相关成员”进行会议，通常包括来自各个国家水协会的代表。最近一次通话是在十一月初。

“我们必须取得更多进展，”Neuberger上周在华盛顿的一次安全会议的间隙表示。“我认为所有途径都在考虑之中。”