确保水务网络安全

一个非常现实的威胁

自从十年前臭名昭著的震网(Stuxnet)网络攻击摧毁了伊朗的铀加工能力以来，工业控制系统一直是网络犯罪分子的已知目标。

对于水务行业来说，网络攻击是一个非常现实的威胁。

在过去几年里发生了一系列事件，最近的一次是在以色列，今年4月发生了一起袭击事件，人们试图增加饮用水中的氯含量。据报道，最近发生了更多的袭击事件。

根据思科系统公司和雅各布斯工程公司的一项新分析，数字网络、远程操作、实时数据采集和分析等新技术的采用，意味着供水系统的数字安全性不如过去。

因此，关键基础设施面临重大网络风险的大门已经打开。

网络攻击性质的变化

为了解决这一问题，2018年《美国水基础设施法案》要求服务3300多人的美国水系统制定或更新其风险评估和应急响应计划，包括运营技术网络安全。

然而，对于许多自来水公司，即使是那些为成千上万人服务的公司，也没有这样的法律要求。

也许更令人不安的是，许多此类公用事业公司并没有认真考虑与网络攻击性质变化相关的风险。

inqual Pro培训总监巴里•塞尔(Barry Searle)表示:“水务行业面临的风险是，网络正在发生变化。”

在接受Aquatech Online采访时，他说:“它已经从It和数据盗窃转变为以犯罪为目的破坏运营技术。这是一个很大的转变。”

“威胁组织已经意识到，如果他们可以限制对SCADA等关键系统的访问，他们就可以赚更多的钱。”

他补充说:“以前的攻击都是关于数据窃取，但在过去两到三年里，这种攻击已经转变为拒绝服务攻击。威胁组织已经意识到，如果他们可以限制对SCADA或操作技术等关键系统的访问，他们就可以赚更多的钱。”

确保可靠和强大的安全

思科/雅各布斯白皮书“城市和社区:水务公司的网络安全”强调了水务公司识别网络漏洞并采取解决方案的必要性。

这些措施应产生可靠和强大的安全性，以确保公共卫生和业务弹性。

不幸的是，许多小型供水网络的分布式特性也潜在地增加了它们对网络攻击的脆弱性。

Intsilo的运营总监、独立IT专家乔纳森·阿斯林(Jonathan Aslin)认为，水务部门在网络安全方面还需要迎头赶上。

他说:“尽管水务行业通常是地方性的，不像电网那样是全国性的，也不像金融业那样是国际性的，可能被认为是一个不那么明显的目标，但威胁的来源和影响范围可能是全球性的。”

“所有基础设施都是有吸引力的目标，因此，如果最广泛形式的水务行业的防御不如其他行业，那么国家或非国家行为体可能会寻求利用薄弱领域。”

根据思科和雅各布斯的说法，网络安全与“纵深防御”物理安全有许多相似之处。保护工业控制网络的关键是通过清晰和定义良好的操作技术、企业网络和云的分离来最大限度地减少风险。

这种方法使组织能够采用定义良好的边界保护。然而，仅仅保护边界是不够的，因为没有单一的产品或技术可以完全保护水资产。

“水网运营商需要考虑多层防御。”

相反，水网运营商需要考虑多层防御。虽然攻击可能会破坏一条或多条防线，但要克服每一道额外的障碍就会变得越来越困难。

构筑多层次防御

除了建立多层防御，重要的是要注意威胁是不断演变的。

“目前国家支持的威胁是有史以来最高的。他们都拥有比我们更好的网络攻击能力，”塞尔补充道。

他表示:“防止网络攻击非常困难，关键在于网络弹性，而对我们来说，水务行业没有这种能力。他们只是靠运气，监管机构并没有向他们施压。

“水务行业需要意识到，他们没有发生过重大国际事件，并不意味着以后也不会发生。油气行业需要从其他地方吸取教训，变得积极主动，而不是被动被动。”

水操作控制系统的任何中断或故障都可能导致人员伤亡，但水资产的威胁和潜在价值要大得多。

Aslin补充说:“我们应该记住，威胁不仅仅是饮用水污染，还包括大坝、水库、抽水、排水和污水系统受到干扰而导致的淹没所造成的后果损害，以及水冷却系统故障造成的物理损害。”

“这在供应链上下游以及分散的组织网络中都存在无数需要防御的弱点。”

文化转变是必须的

因此，水务部门经营者必须进行全面评估，以了解其脆弱性。

他们应该在此基础上制定一个强有力的计划，以确保整个数字企业的网络安全，不仅是今天，而且还考虑到未来的安全基础设施需求。

“金融服务领先水务10年……我没有看到水务行业的投资或参与度达到同样的水平。”

Searle表示，这可能需要某种文化上的转变。

他补充称:“金融服务可能领先水务行业10年，因为银行数据保护相关的商业风险很大。”

“对于电力行业来说，保护资产、保护网络并了解允许承包商进入并插入外部设备的风险，是他们寻求确保工程方面安全的网络安全投资的重要组成部分。我在水务行业没有看到同样水平的投资或参与。”

然而，网络攻击对水务部门的潜在风险是如此巨大，需要作为紧急事项加以改变。