美国环保局(EPA)监察长办公室(OIG)日前发布报告称,美国有超过300个为约1.1亿人提供服务的饮用水系统存在安全漏洞,这些漏洞可能会导致服务中断。
该部门在对1062个服务范围覆盖超过1.93亿人口的饮用水系统进行的被动安全评估中,四分之一的系统被发现存在可能遭受攻击的风险。这些攻击可能导致系统功能瘫痪、拒绝服务及客户信息泄露等问题。
评估涉及五个网络安全领域:电子邮件安全、IT卫生、漏洞管理、对抗性威胁,以及恶意活动。根据潜在影响,发现的问题被划分为从“严重”到“低级”的不同等级。
OIG报告指出,截至2024年10月,在被评估的供水系统中,有97个存在“严重”或“高危”的安全问题,这些系统共为约2700万人提供饮用水服务。此外,有211个饮用水系统存在“中级”或“低级”严重性的安全隐患,这些系统为约8300万人提供服务。这些问题主要集中在外部可见的开放端口上。
OIG表示:“如果恶意行为者利用我们在被动评估中发现的这些网络安全漏洞,可能会导致服务中断,甚至对饮用水基础设施造成不可逆的物理破坏。”
此次评估为每个被调查的饮用水系统绘制了数字足迹,包括用于采集、抽水、处理、储存和分配饮用水的基础设施,并分析了超过75000个IP地址和14400个域名。
OIG报告还指出,环保局自身缺乏“一个供水和废水系统可用于向其报告网络安全事件的专用报告系统”。EPA目前依赖美国网络安全与基础设施安全局(CISA)进行此类事件的报告和管理。
OIG进一步指出:“我们没有发现环保局与CISA及其他联邦和州机构之间在部门应急响应、安全计划、指标设定和缓解策略方面协调工作的正式文件化政策或程序。”
就在这份报告发布前约一个月,总部位于新泽西的美国水务公司遭遇了一次网络攻击。该公司为14个州的1400万人以及18个军事设施提供服务。这次攻击迫使其关闭了部分系统,但供水服务未受到影响。今年5月,美国环保局曾发出警告,称超过70%的供水系统未能遵守《安全饮用水法》的相关规定。报告还指出了一些“严重级别”的安全问题,例如使用默认密码或容易被破解的身份验证系统。
参考资料:https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/,本文来自安全内参,版权归作者所有,转载目的在于传递更多信息。