2月5日,一名身份不明的网络攻击者试图在佛罗里达州奥德斯玛的供水系统中投毒。城市官员说目标水处理设施有一个软件远程访问系统,让员工从远处控制工厂的电脑。黑客侵入了系统,将其设置为大幅增加水中的氢氧化钠含量。这种化学物质(更广为人知的名字是碱液)最初被设定在百万分之100,这个无害的量有助于控制水的pH值水平。袭击者试图将水的浓度提高到11100 ppm,高到足以损伤皮肤,如果水接触人体,就会导致脱发,或者,如果水被摄入,就会导致潜在的致命胃肠道症状。幸运的是,一名工作人员在攻击发生时注意到了它,并在任何改变之前恢复了正确的设置。

像这样的袭击会对公共设施造成多大的更广泛的威胁,我们能做些什么来保护它们?新利18luck体育乔治敦大学外交学院网络安全和治国方术教授本·布坎南问道。

以下是经过编辑的采访记录。

什么会让城市基础设施,比如水处理厂,容易受到黑客攻击?
一般来说,这些设施的挑战通常是它们比较老,或者它们没有我们想要防范黑客的安全基础设施。所以,如果这些系统不像我们希望的那样安全,但它们的互联网是可访问的,这是麻烦的根源。

谁可能对这次袭击负责?
通常针对工业控制系统的问题是,为了达到攻击者想要的效果,您需要相当好地了解该系统。如果您是一个真正的外国攻击者,您需要对系统进行大量的侦察。如果你是内部人士,你就已经知道了。很多时候,执行这种案件的人——其实并没有那么多——是心怀不满的员工,他们已经了解这个系统,知道如何操纵它。(但在这件事上)现在说‘这是一名心怀不满的雇员’还为时过早,而且现在说‘哦,这是伊朗或俄罗斯,这是明显的战争行为’也肯定为时过早。他说,目前这种猜测于事无补。

奥德斯玛是一个拥有15000人口的小城市。这是否使它不那么容易成为目标,或者它实际上比位于更大、人口更多地区的核电站更脆弱?
我不知道它是否可以概括。如果是内部人员,那就能解释为什么他们会把目标锁定在那个设施上,但我们不知道。我认为,外国黑客想要引起轰动,就会选择一个更大的目标,这可能是合乎情理的。但另一方面,我们有一个几年前伊朗黑客的案子被美国政府起诉入侵了…的电脑网络这个老坝没人再用了。

黑客通过一个现有的软件程序获得了访问权限,该程序可以远程访问工厂的计算机。这样的项目应该被禁止吗?
在COVID - 19出现的时刻,很难说,“一切都必须在现场管理。”我不知道这有多现实。但我认为平衡这些系统的安全性和可用性通常是困难的。要达到平衡通常需要比这些设施拥有更多的资源。

像这样的设施应该如何保护自己?
很重要的一件事是系统中要有冗余,尤其是在安全系统周围。这里安全与安全之间有一个重要的区别。网络安全将不法分子排除在计算机网络之外,或者限制他们进入计算机网络后的行为。从技术上讲,安全就是确保工业控制系统的组件不做任何会让人处于危险中的事情,即使他们得到了指令——黑客或其他人的指令。例如,你拥有的一件事是:是否有适当的机制来定期测试工业控制系统的过程和输出,测试水的特定质量?是否有人在监控系统以确保事情不会因为不清楚的原因而不正常?

在这方面,这至少算得上是一个成功的故事。因为虽然他们有袭击这里的意图,也有袭击这里的行动,但没有人受伤。我认为在处理像工业控制系统这样的关键系统时,都需要有这样的冗余。在我第二本书我写过(取决于你如何计算)四次针对工业控制系统的攻击,所有这些攻击都远比这次严重。所以,这并没有达到更成功的攻击水平。

我们能从中学到什么?
这个案例表明,确实有坏人存在,我们花在确保工业控制系统安全上的钱和时间通常花得很好,但我们实际上可以设法以这样一种方式(至少针对某些攻击)来保护系统,使所造成的伤害最小化。

所以,人们现在不应该对他们的水感到恐慌吗?
我认为没有理由在全国范围内恐慌。这是对工业控制系统专业人员工作的重要性的提醒,以及保护这些系统的人。但没有理由过分夸大这里发生的事情,并把它说成“天要塌下来了”,而实际上,天并没有塌下来。