前段时间影响了美国犹他州、怀俄明州和加利福尼亚州电网控制系统的拒绝服务(DoS)攻击很有意思,原因有三。
首先,黑客没有直接攻击电网电力生产和输送的控制系统,而是中断了公共事业运营商监视这些系统当前状态的能力。公共事业产业称此类事件为 “视野丢失”。如果攻击者想要切断部分电网,他们首先要做的就是这一步,因为这可以让公共事业运营商看不到他们接下来要做的破坏性操作,比如关闭继电器切断电流。工业控制系统(ICS)网络攻击早期案例之一的震网事件中攻击者就采取了类似的操作,他们让核离心机操作员误以为一切正常,而实际上离心机已经在超高速运转,最终导致损坏。
其次,攻击者通过黑掉联网设备来造成可见性丧失。此前也有攻击网络设备的案例,比如2018年据传是俄罗斯黑客搞的VPNFilter事件。这些攻击中,黑客同样利用了网络设备中未被修复的漏洞,以便监听网络流量,盗取凭证,在流量中注入恶意代码以破坏终端。因为通常直接暴露在互联网上,且既没有内置反恶意软件功能也难以安装补丁,这些设备相对容易被黑。
第三,电力行业是美国目前唯一一个拥有最小网络安全标准规范(NERC CIP)的关键基础设施垂直行业。其他垂直行业,比如油气、化工、制药、制造与交通运输业,现下都还没有任何网络规范。所以,该事件很可能引致监管机构的更多审查。监管机构最近才对一家大型美国公共事业机构开出了创纪录的1千万美元罚款,处罚理由是忽视网络安全导致发生多起事故,该机构没有一个正式的、协调一致的网络规范实施方法,比如在员工离职时注销其掌握的管理员密码。
NERC CIP 监管规定是重要的第一步,但并未更新到纳入现代安全控制措施,比如持续监视以检测公共事业网络上的可疑或未授权行为。而且这些规定都有赖于公共事业公司自己上报事件,那瞒报情况的出现几乎是必然的,毕竟上报事件很可能会招致罚款和股东诉讼。
有些人错误地认为国防部或者联邦调查局(FBI)负责保护电网不受民族国家攻击。但实际上,美国85%的关键基础设施都是私营产业掌握着。在这些关键基础设施遭到攻击前,美国国防部和国土安全部(DHS)或FBI是既没有资源也没有法律依据来防护民用设施。
黑客几乎是不可能搞定整个美国电网的,因为电网本来就特别设计成了不会发生单点故障的结构。不过,倒是可以想象一下意志坚定的民族国家攻击者对特定人口稠密区下手以造成重大供电中断与混乱的场景,就像俄罗斯黑客在2015年和2016年圣诞对乌克兰做的那样。比如说,在隆冬时节给华盛顿特区或华尔街断个电,那肯定就能给美国人民带来严重的经济和心理打击了,甚至还会闹出人命。
这种情况并非只存在于理论上。2018年3月,美国FBI/DHS总结道,至少自2016年3月开始,俄罗斯政府黑客就攻击了多个政府实体和美国关键基础设施产业,包括能源、核、商业设施,水处理、航空及关键制造行业。