美方基础设施面临网络攻击风险

关键要点

随着俄罗斯对乌克兰的入侵引发的地缘政治影响，联邦政府的网络安全官员对美国关键基础设施可能面临来自莫斯科或勒索软件组织的网络攻击表达了担忧。最近对田纳西河谷管理局（TVA）大坝控制系统进行的审计结果凸显了这一担忧。

一份来自的报告指出，该机构的非发电大坝控制系统存在多处安全短板，且对谁负责确保系统安全的界定不明确。

令人担忧的是，田纳西河谷管理局的官员向审计员表示，非发电大坝控制系统并没有明确的负责人，涉及设计、维护和操作的两个团队都未被指定为网络安全规划失败的责任方。审计员表示，田纳西河谷管理局在报告发布前已对此问题进行了纠正。

“缺乏明确的责任人，网络安全控制的维护和操作可能不会发生，增加了与控制系统相关的网络安全风险。”田纳西河谷管理局的助理监察长大卫·P·惠勒如是写道。

这项审计从2021年12月持续到2022年4月，发现田纳西河谷管理局在安全控制系统方面存在多项不足。田纳西河谷管理局的非发电大坝通过离站操作的控制系统进行管理，用于调节水流。

虽然报告中省略了大多数技术细节和缓解建议，以避免向攻击者透露信息，但它确实揭示了一些不足之处，使系统面临风险。该机构运行的是过时的操作和控制系统软件，对非发电大坝控制系统存在漏洞，并且物理和逻辑访问障碍“不适当”，运营环境中也不清楚谁负责网络安全。

审计员写道：“我们发现操作系统和控制系统软件存在漏洞，可能被用于不当访问非发电大坝控制系统，从而允许调整水流，这可能对河流管理产生负面影响。”

去年，一名恶意黑客成功了佛罗里达州奥兹马尔市的水处理厂控制系统，操纵系统增加了氢氧化钠的用量，可能会污染当地水源。尽管这两者都与相关，但审计员表示此次事件的潜在风险并没有那么高。

与田纳西河谷管理局的官员进行讨论后，他们认为“从地理位置、规模和现有物理控制来看，利用可能导致的河流管理风险较低。”

尽管如此，未经授权的第三方获取访问权限仍然“对田纳西河谷管理局构成了高声誉风险”。

网络安全专家指出，由于无法及时修补或更新系统，资产容易受到潜在的网络攻击。但在工业控制系统网络安全方面，许多关键基础设施实体并不总是有像某些私营企业那样的自由或奢侈，暂时关闭操作来更新系统。这种做法可能会中断等基本服务，或者引入新的软件代码破坏与其他系统的互操作性。

管理检测和响应合同商Critical Insight的首席信息安全官迈克·汉密尔顿在四月对SC