报告揭示美国饮用水系统的网络安全风险

关键要点

在11月13日，环保署（EPA）监察长办公室（OIG）发布报告称，全美有97个饮用水系统面临“关键或高风险”的网络安全漏洞，影响大约2660万美国人。OIG在报告中指出，EPA缺乏一个有效的事件报告系统，使得全国的供水和污水处理系统无法及时通报网络事件。

“目前，EPA依赖美国国土安全部的网络安全和基础设施安全局（CISA）来提供此类报告信息。”OIG报告中明确提到。此外，OIG未能找到有关EPA与CISA及其他联邦和州当局的协调政策和程序，这些当局参与特定行业的应急响应、安全计划、指标和缓解策略。

风险等级 | 系统数量 | 影响人口
—|—|—
高风险 | 97 | 26.6M
中低风险 | 211 | 82.7M
总计 | 1062 | 193M

OIG的评估覆盖1062个饮用水系统，发现除了97个高风险系统外，还有211个系统被标记为中或低严重性，这些系统有外部可见的开放门户。

OIG指出：“如果恶意行为者利用这些被动评估中识别的网络安全漏洞，可能会破坏服务，甚至对饮用水基础设施造成不可逆转的物理损害。”

Sentinel One的首席安全顾问摩根·怀特（Morgan Wright）表示，像盐台风（Salt Typhoon）和沃特台风（VoltTyphoon）这样的威胁行为者正在积极利用水系统中的漏洞。他指出，美国的供水和废水处理设施的系统分布不均，落后于其他行业，并且面对合格人员和预算不足的问题。

“除非迅速采取重大行动，否则灾难性事件的潜力比我们想象的更近，”怀特表示。“想象一下你家发生火灾却没有911可以拨打。这就是我们国家最关键的基础设施当前的准备状态。实际上，在战争中，要让一个国家瘫痪，目标是电力和水。”

Qualys威胁研究部门的网络威胁主任肯·邓哈姆（KenDunham）进一步指出，美国的水系统面临风险，其治理和管理责任分散在州、地方、联邦和商业实体之间，许多人在安全实践上严重缺失。他强调，我们的情况与由政府组织和管理的对手形成鲜明对比，后者更具组织性。

邓哈姆补充道：“水短缺问题相当严重，尤其是根据地理位置、季节和供应链的现实。例如，在夏季，南方州没有饮用水和家庭供应，随之而来的就是人们急于去商店购水，这可能引发各种后果和混乱。如果废水被操纵以制造疾病和污染当地水道，就会引发大规模疾病，对主要区域造成影响。”

XM Cyber的安全产品推广专家达尔·费尔布罗泽（DaleFairbrother）指出，尽管董事会成员和合规指令不断强调工业控制系统（ICS）和运营技术（OT）的网络弹性的重要性，但对OT安全解决方案的预算却持续减少。

“这让安全团队在扩展深度安全战略和安全工具的能力上感到困难，无法提供遗留和OT系统所需的覆盖和保护。”费尔布罗泽表示，过于关注基础设施、资产或实体类型的安全解决方案常常会忽视对ICS系统的关键风险。忽视ICS的安全措施无疑会构成严重威胁。