美国食物链中的危险薄弱环节

如果黑客想要为了削弱美国社会，他们很难摧毁整个电网或金融系统，但他们可能会对制造和运送美国人食品的公司造成严重损害。

据立法者、政策专家和前政府官员称，美国食品和农业部门缺乏资源、专业知识和政府支持来保护自身及其产品免受范围迅速扩大的网络安全威胁。

这些不足留下了漏洞，外国政府特工或网络犯罪分子可以利用这些漏洞远程禁用农业设备、污染肥料、削弱牛奶供应和杀死鸡。

在过去几年中，针对肉类加工巨头 JBS Foods 和爱荷华州农场服务公司 NEW Cooperative 的网络攻击暴露了该行业普遍存在的漏洞。

新技术，包括人工智能的进步，正在创造以前难以想象的风险，使不习惯处理数字安全问题的员工不堪重负。

更糟糕的是，食品和农业是少数几个没有信息共享和分析中心 (ISAC) 来帮助公司反击的关键基础设施行业之一。

所有这些缺点使得食品和农业公司成为一心报复西方制裁的俄罗斯特工、为其国内公司寻求竞争优势的间谍以及寻找无法承受停机时间的受害者的勒索软件团伙的主要目标。

联邦政府最近开始着手应对这些危险。立法者正在介绍法案并在听证会上强调这个问题，而一项总统指令引发了一系列报道和评论。对于最知情和最担心黑客可能造成的混乱的人来说，这些发展早就应该发生了。

农业和食品安全是美国安全的基础，没有稳定的食物供应，社会就会停止运转。

随着该行业变得越来越自动化和数字化，对粮食和农业部门的安全威胁成倍增加。

精准农业使用 GPS 传感器和卫星图像来确定每块土壤的正确肥料类型，并直接向自动移动并喷洒适当混合物的拖拉机发送指令。

如果黑客破坏了这些系统，他们可能会毒害每个使用这些系统的农民的庄稼。直到几个月后，农作物开始长势差或根本无法生长时，影响才会明显。

农民也容易受到更直接的破坏。使能够远程禁用一批被俄罗斯军队偷走的乌克兰拖拉机的远程访问技术，也可以让黑客关闭美国各地的数百万台拖拉机。

美国的肉类供应也面临着巨大的风险。在饲养和屠宰大多数鸡的大型工业设施内，温度和湿度由联网计算机精确控制。通过控制这个系统，黑客可以制造一场灾难。

奥本大学麦克拉里网络和关键基础设施安全研究所副主任马库斯萨克斯说：在 10 到 15 分钟内，你可能会失去数万只鸟，我们以前见过这种情况。这几乎就像一股浪潮穿过鸡舍，它们都死在那里。

准时制物流意味着即使是短期的网络攻击也可能造成严重后果。 破坏化肥或农药生产的黑客攻击可能会迫使农民在播种季节结束。肉类加工厂的违规行为可能导致不稳定的供应短缺。食品加工公司的篡改可能导致致命的污染。

勒索软件攻击已经迫使公司关闭一周的运营，导致学校没有牛奶、果汁和鸡蛋。

该行业的重大中断会导致直接的公共健康和安全问题。

尽管越来越脆弱，但食品和农业部门仍然“并不真正了解威胁心态”，而金融服务和能源等知名度更高的部门则了解。

关键业务，支持有限

如今，食品和农业是没有 ISAC 的四个关键基础设施部门（共 16 个部门）之一 ，另外两个部门是水坝、政府设施、核反应堆和材料。

食品和农业部门是最早于 2002 年推出此类中心的部门之一，但该中心于 2008 年解散，因为很少有公司通过它共享信息。

成员们担心这种开放会损害他们的竞争优势，并使他们面临监管行动。萨克斯说，现在企业担心相互交换信息可能会引发反垄断诉讼，即使这种合作是合法的。

一些公司参加了 IT-ISAC 内的食品和农业特别兴趣小组(SIG)，这使他们能够访问一些世界上最大的科技公司的数据和分析，以及用于对抗特定黑客团体的剧本等资源。

在过去三年左右的时间里，我们与该行业的合作确实得到了扩展。在同一时期，IT-ISAC 记录了 300 起针对食品和农业部门的勒索软件攻击。

SIG 的产品是有限的。它没有定期举行大规模演习来模拟对食品和农业公司的攻击，也没有配备一个 24/7 监视中心来持续监视这些公司的基础设施（以及恶劣天气和供应链中断等相关事件），并且无法通过将机密的政府情报与来自该基础设施内部传感器的数据进行比较来自动生成见解和警报。

美国网络安全和基础设施安全局 (CISA) 前基础设施安全助理主任说：IT-ISAC 举办了以粮食和农业部门为重点的演习，但该行业需要自己的 ISAC，它可以分析威胁并提供真正的运营评估。与我交谈过的很多人都认为需要有一个专门的 ISAC。

公司还需要联邦政府的更多支持。

美国农业部是该行业的部门风险管理机构，其“效率明显低于”其他 SRMA。

美国农业部甚至没有为其安全支持提供专项资金，其中包括一年两次的全行业会议、每周威胁公告和偶尔的市政厅。

随着网络安全威胁和漏洞不断增加，美国农业部无法履行这些 SRMA 职责，这可能会对美国农业的安全和保障产生重大影响，该部门在其 2024 财年预算提案中表示，该提案针对第一次为这项工作申请 225000 美元。

相比之下， 能源部为其网络安全、能源安全和应急响应办公室申请了 2.45 亿美元。

美国农业部对网络安全表现出“非常小的兴趣”，他曾试图促使官员采取行动。

USDA 发言人说，该机构和 FDA 与 CISA、FBI 和私营部门密切合作。

CISA 负责网络安全的执行助理主任表示，他的机构正在与美国农业部和其他合作伙伴合作，以改善整个行业的网络安全并增强对网络中断的适应能力。

幸运的是，美国政府内部保护国家的拖拉机、肥料、牛奶和鸡免受黑客攻击的紧迫感越来越强烈。

食品和农业行业网络安全支持法案，将为公司创造新的联邦资源，要求加强政府与行业之间的协调，并启动政府问责办公室对该行业的情况进行审查，包括是否需要 ISAC。

该法案由两名共和党人和一名民主党人共同发起。

白宫也在采取行动。去年 11 月，乔·拜登总统签署了 一份关于“美国粮食和农业的安全和弹性”的备忘录，订购了一套威胁报告、风险审查和脆弱性评估，以应对物理和网络挑战。

据国土安全部发言人称，各机构已经完成了原定于 1 月到期的初步评估，并正在完成原定于 3 月到期的中期审查。

与此同时，专家表示，政府可以更好地利用其现有计划来提供帮助。

美国农业部的合作推广服务与赠地大学和社区组织合作，为美国各地的农民提供农业培训和指导。鼓励美国农业部利用农民与当地推广机构之间的信任关系来推广网络安全最佳实践。

萨克斯和他的同事们甚至正在考虑帮助土地赠与大学联盟启动一个 ISAC，它既可以促进信息共享，又可以让学生为进入具有关键网络技能的食品和农业劳动力做好准备。

无论该行业是否成立 ISAC，人们普遍认为必须采取更多措施来应对越来越多的威胁，这些威胁危及这些公司以及依赖它们维持基本生计的数亿人。

一个漏洞和攻击，可能会给下游的每个人带来灾难。