電網和水壩成美國資安弱點 改善卻要面對諸多制肘

現時國與國之間的網絡大戰已不局限於入侵政府電腦,國家基建亦隨時有機可乘。以美國為例,有報導指由國家或恐怖組織策劃的網絡攻擊有可能入侵當地的電網和紐約洲的水壩。可是要改善的話往往涉及政府撥款和計劃,要立即解決不是易事。

現時國與國之間的網絡大戰已不局限於入侵政府電腦,國家基建亦隨時有機可乘。以美國為例,有報導指由國家或恐怖組織策劃的網絡攻擊有可能入侵當地的電網和紐約洲的水壩。可是要改善的話往往涉及政府撥款和計劃,要立即解決不是易事。

 

美國建基的網絡保安不足

事實上,美國的軍備武器早前亦被指有漏洞,但這個星期再有其他報導指美國的基建受網絡安全威脅。美聯社引述安全專家 Brian Wallace 指,伊朗的黑客很有可能入侵了國家的電網,偷了密碼和圖則;華爾街日報亦報導,伊朗黑客在 2013 年嘗試入侵紐約洲的水壩,雖然行動似乎不成功,但也為水壩的保安響起警號。

眾多專家都指這些事件反映城市基建的網絡保安不足,不僅是攻擊對像,政府和網絡保安公司都應有所回應。Belden 行政總裁 John Stroup 認為各界不應認為該類攻擊只限於電網,任何工業、國防、製造組職都應馬上檢示自己的網絡安全措施,減少被入侵的風險。他亦指出現時投資於工業上的網絡保安並不足夠,他們需要專門的方案來應付上述行業獨特的要求。由於當中涉及安全和性命,業界不應待重大事情發生後才採取措施。

Network Box 美國技術總監 Pierluigi Stella 就質疑,除了方便,基建系統是否真的要連接互聯網。以發電廠的數據採集與監控系統(SCADA)為例,它的次網(subnet)應從防火牆和入侵預防系統 (IPS)中隔離。採用氣隔(air-gapped)是最直接減低入侵機會的方法,藉此黑客不能用一般方法接觸系統。不過此舉亦非百分百安全,Redware 安全方安的 Carl Herberger 說美國的基建很受「歡迎」,依賴單一方法並不足夠。

 

改善涉及資金及長時間計劃 不能馬上完成

Stella 亦補充,假如受到攻擊的不是電網而是污水處理系統,情況更不堪設想。攻擊者可以釋放大量氯氣和氟化物到水中來毒害市民,而且還可以裝成是意外,因此必須嚴肅應對。但是要建立穩健的網絡保安並非易事,因為那些基建興建時只意識到建築物的安全,沒有考慮網絡入侵的風險。

如果要改善情況的話就涉及不少的資金。可是這些基建大多數都是由政府管理,意味著任何的改動都需要財政預算和長時間的安排,起碼為時數年,結果他們根本不能馬上做好準備回應威脅。

Source : SC Magazine