白宫准备加强供水网络安全计划

拜登政府正在准备一项提案，以加强美国供水的网络安全，该系统由数千个组织维护，有时对黑客来说存在明显的漏洞。

该计划扩大了白宫的一项倡议，以说服主要工业公司升级检测网络攻击的技术。美国官员希望自来水公司能够分析并自愿报告此类数据，以帮助当局监测对不同类型关键基础设施的威胁。

白宫此前曾表示，今年将把该计划扩展到自来水公司，以防止黑客侵入工业公司日益数字化的控制系统。

美国水务协会联邦关系经理凯文莫利说，水行业贸易组织正在评估蓝图草案和潜在的技术需求、美国官员将如何支持这项工作以及政府想要的数据类型。

“它为我们的联邦合作伙伴提供了知名度，”莫利先生说。“但是，就此而言，如何为该行业或其他行业的净利益分享这些信息？”

白宫于 4 月在为期 100 天的“冲刺”期间启动了其工业控制系统网络安全计划，以加强电力公司的安全。该计划于 8 月扩大到包括天然气管道。将水务部门加入该计划将标志着加强私人或公共运营基础设施的最新尝试，这些基础设施历来几乎没有网络监管。

安全专家表示，由于该行业面临的威胁越来越大以及一些公用事业公司的技术过时，因此保护供水应该变得紧迫起来。2 月，一名黑客访问了佛罗里达州奥兹马市自来水公司的控制系统，并试图将用于处理水的碱液量增加到具有潜在危险的水平。去年 10 月，美国官员以今年发生的三起勒索软件攻击为由，警告称，供水公司存在“持续的恶意网络活动”。

EPA 发言人表示，作为白宫计划的一部分，负责监督供水设施网络安全的环境保护署将与网络安全和基础设施安全局合作，帮助公用事业公司提高发现此类攻击的能力。

“该计划草案概述了利用 EPA、CISA 和水部门合作伙伴的专业知识和资源的角色和责任，”他在一份声明中说。

白宫国家安全委员会于 11 月 10 日提出了该计划草案，WaterISAC 的董事总经理迈克尔·阿尔森诺 (Michael Arceneaux) 表示，WaterISAC 是一家分享有关水行业安全威胁信息的非营利组织。

“假设该倡议在供水和污水处理公用事业公司中获得关注，行业协会将努力帮助我们的成员就可供他们使用的共享选项做出明智的选择，”他说。

国家安全委员会发言人表示，拜登政府希望尽快将其工作扩展到水务部门，但拒绝评论何时打算启动该计划。CISA拒绝置评。

去年联邦机构因SolarWinds Corp. 的 软件遭到入侵而遭到破坏，今年春天又发生了一系列勒索软件攻击，一家主要的燃料管道公司遭到破坏，美国政府因此修改了美国的网络政策 。除了针对管道和铁路行业推出首创的法规外，美国官员还推动公司参与自愿合作伙伴关系，例如工业控制系统网络安全倡议。

代表投资者拥有的公用事业公司的贸易组织全国水务公司协会主席罗伯特·鲍威尔森表示，实施此类计划对水务行业来说可能具有挑战性。他说，超过 50,000 个实体维持着美国的供水，而安全专家批评美国环保署缺乏网络人员和专业知识来监督如此分散的部门。

EPA 没有针对供水商的具有约束力的网络安全标准，但表示它拥有帮助公用事业公司保护自己所需的工具。

联邦能源管理委员会前任委员鲍威尔森先生说，最终，水行业需要的监管不是由 EPA 管理，而是通过类似于电力行业的模式来管理，该委员会负责监管州际电力传输。

“对于我们 [水] 部门的人来说，'我们应该有自愿性标准'，这对我来说是废话，”他说。