近日，美國環(huán)境保護(hù)署（EPA）監(jiān)察長辦公室（OIG）發(fā)布了一份研究報(bào)告，在對(duì)美國1062個(gè)飲用水系統(tǒng)進(jìn)行了安全性缺陷評(píng)估活動(dòng)之后，結(jié)果顯示，超過300個(gè)飲用水系統(tǒng)存在系統(tǒng)漏洞，存在可能導(dǎo)致功能喪失、無法服務(wù)和用戶信息泄露的風(fēng)險(xiǎn)。不安全的飲用水系統(tǒng)為1.1億美國人提供服務(wù)。

安全性缺陷評(píng)估涵蓋了五個(gè)網(wǎng)絡(luò)安全類別，即電子郵件安全、IT衛(wèi)生、漏洞、對(duì)抗性威脅和惡意活動(dòng)，并根據(jù)潛在影響對(duì)識(shí)別的漏洞從低到高進(jìn)行評(píng)分。

數(shù)據(jù)顯示，97個(gè)系統(tǒng)存在關(guān)鍵或高風(fēng)險(xiǎn)漏洞，可能導(dǎo)致服務(wù)癱瘓或數(shù)據(jù)泄露，另有211個(gè)系統(tǒng)存在可被外部訪問的開放端口，盡管風(fēng)險(xiǎn)較低，但若不及時(shí)修復(fù)，仍有可能被利用。

OIG進(jìn)一步表示，“如果網(wǎng)絡(luò)攻擊者利用我們?cè)诒粍?dòng)評(píng)估中識(shí)別的網(wǎng)絡(luò)安全漏洞，他們可能會(huì)中斷服務(wù)或?qū)︼嬘盟A(chǔ)設(shè)施造成無法彌補(bǔ)的物理損害?！?/p>

EPA還會(huì)為每個(gè)被調(diào)查對(duì)象繪制系統(tǒng)的數(shù)字足跡，涵蓋用于收集、泵送、處理、儲(chǔ)存和分配飲用水的基礎(chǔ)設(shè)施，分析超過75000個(gè)IP和14400個(gè)域名。

該報(bào)告還總結(jié)了EPA在網(wǎng)絡(luò)安全方面的不足。EPA缺乏一個(gè)集中式的事件報(bào)告系統(tǒng)，目前依賴美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）進(jìn)行此類報(bào)告，這明顯限制了威脅發(fā)生時(shí)的及時(shí)溝通與協(xié)調(diào)響應(yīng)能力。此外還有飲用水系統(tǒng)的管理人員缺乏足夠的網(wǎng)絡(luò)安全培訓(xùn)，導(dǎo)致系統(tǒng)容易被黑客攻擊；許多供水系統(tǒng)陳舊過時(shí)，缺乏維護(hù)，進(jìn)一步增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

針對(duì)上述問題，EPA計(jì)劃利用飲用水州循環(huán)基金和大中型飲用水系統(tǒng)基礎(chǔ)設(shè)施恢復(fù)力與可持續(xù)性計(jì)劃，為公共供水系統(tǒng)提供培訓(xùn)、技術(shù)援助和財(cái)務(wù)支持，以加強(qiáng)其網(wǎng)絡(luò)安全防護(hù)能力。

事實(shí)上，美國飲用水系統(tǒng)一直存在嚴(yán)重安全風(fēng)險(xiǎn)。2021年2月，黑客通過遠(yuǎn)程控制軟件TeamViewer入侵佛羅里達(dá)州奧茲瑪市自來水廠的電腦系統(tǒng)，試圖將氫氧化鈉的含量從百萬分之100大幅提高到百萬分之111000，這直接達(dá)到了“水質(zhì)危險(xiǎn)”的程度。

由于員工及時(shí)發(fā)現(xiàn)并干預(yù)，沒有對(duì)公眾造成實(shí)際傷害。但FBI和特勤局介入調(diào)查后，議員馬可·羅伯（Marco Rubio）要求FBI全力協(xié)助，將此案件視為國家安全問題。

再今年5月，EPA也曾警告說，超過70%的水系統(tǒng)不符合《安全飲用水法》，強(qiáng)調(diào)了嚴(yán)重性高的問題，例如使用默認(rèn)密碼和容易受到黑客攻擊的認(rèn)證系統(tǒng)，這些都大大降低了攻擊者入侵的門檻。

為此，EPA要求在各州進(jìn)行公共供水系統(tǒng)的衛(wèi)生檢查時(shí)，強(qiáng)制納入網(wǎng)絡(luò)安全評(píng)估。供水系統(tǒng)運(yùn)營商也需要制定適當(dāng)?shù)氖录憫?yīng)計(jì)劃，以便在檢測(cè)和分析網(wǎng)絡(luò)事件時(shí)能夠快速、準(zhǔn)確地報(bào)告事件并收集數(shù)據(jù)進(jìn)行分析。對(duì)此，美國聯(lián)邦機(jī)構(gòu)發(fā)布了指導(dǎo)意見，幫助供水和廢水處理系統(tǒng)運(yùn)營商更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。EPA也與CISA、FBI聯(lián)合發(fā)布指南：EPA與美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)及美國聯(lián)邦調(diào)查局(FBI)聯(lián)合發(fā)布了一項(xiàng)網(wǎng)絡(luò)安全實(shí)踐指南，旨在幫助城市供水和廢水處理領(lǐng)域的企業(yè)組織提高網(wǎng)絡(luò)安全彈性和事件響應(yīng)能力。

參考來源：https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/