美國供水系統的網絡安全再次敲響警鐘。據美國環境保護署（EPA）11月13日發布的一份報告顯示，美國近100個大型社區供水系統（CWS）仍然存在嚴重的網絡安全漏洞，這些系統服務著超過2700萬美國人。如果這些漏洞被惡意攻擊者利用，可能導致供水中斷，甚至對飲用水基礎設施造成不可逆的物理破壞。

2700萬美國人面臨攻擊風險

EPA的報告基于2023年10月對超過75,000個IP地址和14,400個域名的被動評估。評估發現，美國約9%的大型供水系統（覆蓋至少5萬人）存在嚴重漏洞?？傮w而言，這些受影響的供水系統直接服務于數百萬居民、企業、學校和醫院。

“如果惡意攻擊者利用這些網絡安全漏洞，可能會導致供水服務中斷或對飲用水基礎設施造成不可挽回的破壞，”EPA在報告中警告道。

網絡攻擊頻發：供水系統成新目標

過去三年中，供水系統成為國家支持的黑客組織、勒索軟件團伙和黑客活動家攻擊的重點目標。例如：

2023年，與伊朗有關的網絡攻擊者入侵了賓夕法尼亞州一家供水設施的可編程邏輯控制器（PLC），以及以色列的10家廢水處理廠。

2021年，一名黑客試圖攻擊佛羅里達州的一個水處理廠，甚至更改了水中化學物質的混合比例，但未能成功躲避檢測。

2024年9月，堪薩斯州阿肯色市的一個水處理廠遭遇網絡安全事件后被迫轉為手動操作。

這些事件表明，水系統的網絡安全漏洞不僅威脅著居民的生活，還可能影響到與供水緊密相關的企業和關鍵基礎設施，如發電廠和數據中心。

供水系統為何如此脆弱？

美國擁有近15萬個供水系統，這些系統分為三大類：

• 社區供水系統（CWS）：全年為城市或城鎮居民供水，占總供水系統的33.7%。
• 非社區臨時供水系統（TNCWS）：為特定場所的游客或旅客提供短期供水，例如露營地或加油站，占54.3%。
• 非社區長期供水系統（NTNCWS）：為學校、企業和醫院等非住宅場所供水，占12%。

大多數供水系統規模較小，面臨與地方政府類似的挑戰：缺乏資源、技術設備老化、防御架構不完善以及網絡監控能力不足。

谷歌云CISO辦公室制造與工業部門負責人Vinod D'Souza指出：“供水系統直接關系到公共健康，且供水系統地理分布廣泛，結構復雜，其網絡安全挑戰遠超其他行業。因此需要比其他運營技術（OT）系統更嚴格的安全措施。”

監管與投資的缺口

根據EPA規定，服務超過3300人的供水系統必須進行包括網絡安全在內的風險評估，并制定應急響應計劃。然而，由于資金短缺，大多數供水設施難以滿足這些要求。

2024年5月，EPA發布警告稱：伊朗和俄羅斯正加緊對美國供水系統的網絡攻擊。這些系統存在以下問題：

• 未更改默認密碼
• 所有員工使用同一登錄賬號
• 未限制已離職員工的訪問權限

此外，美國網絡安全與基礎設施安全局（CISA）發布了供水與廢水行業的網絡事件響應指南，但由于資源有限和監管力度不足，許多供水系統仍未達到基本的網絡安全標準。

谷歌云的D'Souza表示：“單純增加監管并不能解決問題，預算不足對關鍵基礎設施安全的影響更大。”