英國皇家國際事務(wù)研究所(Chatham House)周一發(fā)布的報(bào)告稱,核工業(yè)仍未充分認(rèn)識(shí)到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
該報(bào)告聚焦民用核設(shè)施網(wǎng)絡(luò)安全,基于對(duì)來自英國、加拿大、美國、烏克蘭、俄羅斯、日本、法國和德國的30位行業(yè)從業(yè)人員的訪談。
2010年攻擊伊朗核設(shè)施的震網(wǎng)病毒清晰呈現(xiàn)了網(wǎng)絡(luò)攻擊的威脅。然而,這份英國皇家國際事務(wù)研究所耗時(shí)18個(gè)月的研究報(bào)告顯示:盡管國際原子能機(jī)構(gòu)(IAEA)近期采取了重要舉措,核電業(yè)仍落后于其他產(chǎn)業(yè)。
雖然核設(shè)施在物理安全和防衛(wèi)上準(zhǔn)備得很充分,其越來越依賴于數(shù)字系統(tǒng)的事實(shí)卻意味著它們需要準(zhǔn)備好應(yīng)對(duì)一種新型威脅,即來自網(wǎng)絡(luò)空間的攻擊。
工業(yè)控制系統(tǒng)(ICS)軟件存在的大量漏洞令核設(shè)施成為惡意攻擊者易于下手的目標(biāo)。盡管很多人認(rèn)為由于重要系統(tǒng)是物理隔離的(比如與公共互聯(lián)網(wǎng)相互隔絕),負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織面對(duì)破壞性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)很低,皇家國際事務(wù)研究所卻認(rèn)為,在核設(shè)施這件事上,這種想法不過是天真的神話。
該研究發(fā)現(xiàn),很多核設(shè)施采用虛擬專用網(wǎng)(VPN)和其他類型的網(wǎng)絡(luò)接入,且操作員很可能沒意識(shí)到它們的存在。
皇家國際事務(wù)研究所發(fā)現(xiàn)的主要問題之一與風(fēng)險(xiǎn)評(píng)估有關(guān),這些評(píng)估有可能不夠充分并導(dǎo)致網(wǎng)絡(luò)安全預(yù)算的裁減。專家們認(rèn)為,需要有準(zhǔn)確評(píng)估和衡量風(fēng)險(xiǎn)的指導(dǎo)方針,以便董事會(huì)和首席執(zhí)行官能夠認(rèn)識(shí)到什么是利害攸關(guān)的。
導(dǎo)致風(fēng)險(xiǎn)被低估的因素之一,是網(wǎng)絡(luò)安全事件披露的罕見性。安全事件甚少曝光的事實(shí)可能致使核工業(yè)樂觀地認(rèn)為自身并非網(wǎng)絡(luò)攻擊的目標(biāo)。報(bào)告顯示,核工業(yè)和其他產(chǎn)業(yè)的交流非常有限,與網(wǎng)絡(luò)安全公司和廠商的交流也是如此,而這也是需要關(guān)注的問題點(diǎn)。
涉及到核設(shè)施安全防護(hù)時(shí),還有一系列文化上的問題,包括運(yùn)行技術(shù)(OT)工程師和信息技術(shù)(IT)工程師之間的溝通困難,網(wǎng)絡(luò)安全規(guī)程和培訓(xùn)的缺失,以及被動(dòng)式網(wǎng)絡(luò)安全方法?;始覈H事務(wù)研究所基于其進(jìn)行的訪談確信:所有這些問題反映出核設(shè)施并未準(zhǔn)備好偵測并處理網(wǎng)絡(luò)攻擊。
至于技術(shù)挑戰(zhàn),由于可能導(dǎo)致宕機(jī)的兼容性問題和供應(yīng)鏈漏洞而需要面對(duì)打補(bǔ)丁的麻煩,該報(bào)告將工業(yè)控制系統(tǒng)視為“設(shè)計(jì)上就不安全的”。
“核工業(yè)整體需要更堅(jiān)強(qiáng)的決心在網(wǎng)絡(luò)空間采取行動(dòng),促進(jìn)和培育網(wǎng)絡(luò)安全文化,確定投資重點(diǎn),確保足夠的持續(xù)的資金被投放到有效應(yīng)對(duì)挑戰(zhàn)上。建立國際網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略和鼓勵(lì)信息在所有利益相關(guān)者間自由流通也是必需的?!被始覈H事務(wù)研究所在其報(bào)告中寫道,“這就要求核工業(yè)發(fā)展合適的機(jī)制和協(xié)調(diào)一致的行動(dòng)計(jì)劃來解決已發(fā)現(xiàn)的技術(shù)短板,以及找到監(jiān)管和個(gè)人責(zé)任之間的良好平衡。”
---