近日,美国环境保护署(EPA)监察长办公室(OIG)发布的一份研究报告显示,在对美国 1062 个饮用水系统进行安全性缺陷评估后,发现超过 300 个饮用水系统存在系统漏洞,这些漏洞可能导致功能丧失、无法服务和用户信息泄露,受影响人口约达 1.1 亿人。
安全性缺陷评估涵盖电子邮件安全、IT 卫生、漏洞、对抗性威胁和恶意活动等五个网络安全类别,并依据潜在影响对识别出的漏洞进行从低到高的评分。数据显示,97 个系统存在关键或高风险漏洞,可能致使服务瘫痪或数据泄露;另有 211 个系统存在可被外部访问的开放端口,虽然风险相对较低,但倘若不及时修复,仍有被利用的可能性。
OIG 方面进一步指出,“倘若网络攻击者利用被动评估中识别出的这些网络安全漏洞,便可能中断服务,甚至对饮用水基础设施造成无法弥补的物理损害。”EPA 还会为每个被调查对象绘制系统的数字足迹,涵盖用于收集、泵送、处理、储存和分配饮用水的基础设施,分析范围超过 75000 个 IP 和 14400 个域名。
该报告同时总结了 EPA 在网络安全方面的不足。一方面,EPA 缺乏一个集中式的事件报告系统,目前依赖美国网络安全和基础设施安全局(CISA)进行此类报告,这严重限制了在威胁发生时的及时沟通与协调响应能力。另一方面,饮用水系统的管理人员缺乏足够的网络安全培训,使得系统容易遭受黑客攻击;并且许多供水系统陈旧过时,缺乏维护,进一步加剧了网络安全风险。
事实上,美国饮用水系统长期存在严重的安全风险问题。早在 2021 年 2 月,黑客就曾通过远程控制软件 TeamViewer 入侵佛罗里达州奥兹玛市自来水厂的电脑系统,试图将氢氧化钠的含量从百万分之 100 大幅提高到百万分之 111000,直接达到 “水质危险” 的程度,所幸员工及时发现并干预,才未对公众造成实际伤害。今年 5 月,EPA 也曾发出警告,称超过 70% 的水系统不符合《安全饮用水法》,特别强调了诸如使用默认密码和易受黑客攻击的认证系统等高严重性问题,这些问题大大降低了攻击者入侵的门槛。
针对上述一系列问题,EPA 计划借助饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划,为公共供水系统提供培训、技术援助和财务支持,以强化其网络安全防护能力。同时,美国联邦机构发布了指导意见,助力供水和废水处理系统运营商更好地应对网络攻击。此前,EPA 还与美国网络安全和基础设施安全局(CISA)及美国联邦调查局(FBI)联合发布了一项网络安全实践指南,旨在帮助城市供水和废水处理领域的企业组织提升网络安全弹性和事件响应能力。然而,从现状来看,美国饮用水系统的安全漏洞问题依旧严峻,关乎 1.1 亿人的用水安全,后续措施的实施效果和改进情况备受关注。
