2019年1月,怀亚特·特拉弗尼切克(Wyatt Travnichek)辞去了在波斯特岩石农村水区(Post Rock Rural Water District)的工作,该地区1800英里的水管为堪萨斯州死亡中心的8个县的客户提供水源。检察官说,两个月后,他重新登录了该设施的电脑系统,并开始篡改清洁和消毒饮用水的程序。
当涉及到关键的基础设施安全时,电网吸引了大多数公众的注意力——这是可以理解的。电网面临的威胁是真实而可怕的;问问乌克兰的任何一个人就知道了,因为俄罗斯的沙虫黑客,乌克兰经历了多次大规模停电。但在周三的起诉书中披露的Post Rock事件,是一个尖锐的提醒:供水系统也同样是一个具有破坏性的目标。
就在两个月前,一名身份不明的黑客试图对佛罗里达州奥德斯玛的供水系统下毒,这是公开披露的第三起针对供水系统的直接威胁公用事业客户健康的攻击事件。(2016年,威瑞森安全解决方案公司(Verizon Security Solutions)发现,黑客成功改变了一家未具名公用事业公司的化学含量。)可能造成人身伤害的网络攻击仍然极为罕见,但美国的供水系统正成为越来越受欢迎的攻击目标。专家表示,这些系统基本上无法应对这些威胁。
“每个人都认为人们会将电力转移到某些地区,因为这是你熟悉的东西。每个人都经历过停电。我们也知道如何在危机中生存下来,”工业控制系统安全公司Dragos的主要威胁分析师莱斯利•卡哈特表示。“我们不考虑水。这可能是资金如此不足的原因之一。”
特拉夫尼切克是如何在离开后进入Post Rock农村水务局的网络的细节尚不清楚;起诉书只说他“远程登录”。法庭文件显示,他在那里工作时使用了远程登录,以便在下班后进行监控。但基本的网络安全措施应该足以防止前雇员未经授权进入系统,无论他们只是使用旧的证书,或甚至设置了一个更复杂的后门进入系统。不幸的是,许多水务公司甚至缺乏这样的水,尤其是在农村地区。
“大多数水务设施是由市政当局管理的,所以它们可以由非常小的城镇以非常少的预算来管理。他们的经营规模很小,”卡哈特说。“很多水务公司,尤其是市政公用事业公司,如果运气好的话,可能会有一个IT人员。在大多数情况下,他们的工作人员绝对没有安保人员。”Post Rock和特拉夫尼切克的律师都没有回应置评请求
当你的工作是确保自来水公司的电脑正常工作时,你可能会优先考虑保护饮用水供应的程序,而不是实施,比如,联邦身份措施,以防止前员工再次出现。
不幸的是,这种情况发生的频率比你想象的要高。Post Rock事件,就像几年前发现的奥德斯玛事件和威瑞森公司的匿名入侵事件一样,引起了人们的关注,因为它们可能会导致人身伤害。但在过去的十年里,水务公司经历了缓慢但持续的冲击。在2010年代的前五年,它一直是目标最明确的行业之一,但仍远远落后于关键的制造业和能源行业。2015年,美国工业控制系统网络应急响应团队处理了25起水和废水行业的网络安全事件;在2016年,也就是有数据的最后一年,有18个。最近发表在该杂志上的一项研究在一定程度上研究了针对供水系统的15次网络攻击,发现它们的范围从数据盗窃到加密劫持,再到勒索软件。
令人不安的是,这些案件中至少有三分之一的袭击者是内部人员。水系统有复杂的界面;你不能只是随意按下按钮,然后期待一个有害的结果。但在那里工作的人,或者曾经在那里工作过的人?这是麻烦。“即使个人离开了一个组织,他们仍然可以被认为是内部人员。普渡大学(Purdue University)网络空间安全实验室(Cyber Space Security Lab)负责人、最近与人合著了一篇有关内部威胁的论文。“通常他们有很多知识,这些知识使他们能够制造破坏、破坏等等。”
据威胁情报公司Intel 471的首席信息安全官布兰登·霍夫曼(Brandon Hoffman)说,对供水系统的威胁与近年来对关键基础设施的更广泛的威胁密不可分。“对手认为,从安全角度来看,关键基础设施资金不足,管理不善。”
去年,英特尔471发现,一名疑似伊朗黑客通过消息应用Telegram出售佛罗里达州一家水处理厂的网络接入权。(他们没有将该活动与奥德斯玛事件联系起来。)霍夫曼预计,供水基础设施将成为一个越来越受欢迎的目标,特别是像Post Rock和Oldsmar这样的事件凸显了这些核电站的脆弱性和它们可能造成的伤害。
“这是一把双刃剑,”霍夫曼谈到最近的案件时说。“一方面,你希望人们有意识。另一方面,成功带来成功。看到它的人越多,就会有越多的人想要瞄准它。”
从好消息的角度来看,基本的网络安全保护措施对防止内部人员和业余人士的攻击大有帮助。(如果一个老练的国家资助的黑客想要侵入你的水处理厂,那就是另一回事了,不会有好结局。)但问题是,谁来为这些措施的实施买单。尽管拜登总统本周提出了一项规模庞大的2万亿美元基础设施建设法案,但白宫对优先事项的详细划分却没有提到网络安全。这并不是说国会最终提出的任何法案都不会为支撑这些体系投入资源,而是应该从一开始就优先考虑。
“他们需要更多的资源。这需要成文。他们需要得到更多的工作人员,更多的钱,更多的工具,更多的情报。这是一个巨大的差距,”Dragos的Carhart说。“真正让我害怕的是,他们只是增加了一些法律,要求对这些人进行更多的检查,但他们没有给他们更多的人,也没有给他们更多的钱。”卡哈特说,陷入困境的IT人员在检查符合性方面花的时间越多,他们安装补丁、更新系统以及实施许多人都缺乏的其他安全基础设施所需的时间就越少。
水的供应关系到人民的健康和安全。Post Rock事件是它面临的风险以及继续忽视它的潜在后果的又一个警告。
