压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

今年3月，美國環(huán)保署發(fā)布備忘錄警告稱，針對公共供水系統(tǒng)的網(wǎng)絡(luò)攻擊正在增加。環(huán)保署表示，這些攻擊有可能癱瘓或污染美國民眾的飲用水。盡管一些公共供水系統(tǒng)已采取重要步驟改善網(wǎng)絡(luò)安全，但根據(jù)環(huán)保署的說法，許多系統(tǒng)“未能遵循基本的網(wǎng)絡(luò)安全最佳實踐，因而面臨較高網(wǎng)絡(luò)攻擊風險，攻擊者包括得到國家支持的行為者。”

根據(jù)聯(lián)邦《安全飲用水法》，各州有責任對當?shù)毓┧到y(tǒng)進行調(diào)查。具體來說，各州必須至少每三到五年對“公共供水系統(tǒng)的設(shè)施、設(shè)備、運營等進行現(xiàn)場審查，以評估系統(tǒng)完備性、水源和運營情況，以及安全飲用水配送情況”。如果一個州在調(diào)查中發(fā)現(xiàn)“重大缺陷”，就必須要求供水系統(tǒng)解決問題。

水務行業(yè)聯(lián)合廢除

環(huán)保署網(wǎng)絡(luò)安全要求

環(huán)保署在3月備忘錄中指出，許多公共供水系統(tǒng)依賴于電子系統(tǒng)實現(xiàn)高效運轉(zhuǎn)，特別是工業(yè)控制系統(tǒng)等運營技術(shù)。因此，環(huán)保署正在重新解釋現(xiàn)有規(guī)定，要求各州對公共供水系統(tǒng)的“設(shè)備”和“運營”進行審查時，需對任何影響客戶水資源供應或安全性的運營技術(shù)進行網(wǎng)絡(luò)安全審查。

根據(jù)現(xiàn)有規(guī)定，如果州政府發(fā)現(xiàn)嚴重的網(wǎng)絡(luò)安全缺陷，將要求供水系統(tǒng)解決這些問題。備忘錄列出了各種州可遵循的方法，包括供水系統(tǒng)自行評估、第三方評估、州政府直接評估以及其他選項。在一份配套文件中，環(huán)保署提供了一個供州政府使用的網(wǎng)絡(luò)安全檢查清單。

通知一經(jīng)發(fā)出，幾個共和黨州的檢察長，連同美國供水協(xié)會和全國農(nóng)村供水協(xié)會，提出了審查請求。他們認為該備忘錄違反了《行政程序法》，超出了環(huán)保署的法定權(quán)力。原告辯稱，目前對安全飲用水供應起到至關(guān)重要作用的運營技術(shù)，并不屬于現(xiàn)有規(guī)定中“設(shè)備”、“運營”或“安全飲用水配送”的范疇。行業(yè)協(xié)會認為，收集網(wǎng)絡(luò)安全信息將使供水系統(tǒng)更容易受到網(wǎng)絡(luò)攻擊威脅。

2023年7月，第八巡回法院在未發(fā)表具體意見的情況下，同意原告方的動議，暫緩執(zhí)行備忘錄，直至復審申請?zhí)幚硗戤叀?023年10月，環(huán)保署因訴訟行動而撤銷了3月份的備忘錄。

供水系統(tǒng)遭伊朗大規(guī)模網(wǎng)絡(luò)攻擊

現(xiàn)在，美國聯(lián)邦調(diào)查局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、國家安全局、環(huán)保署以及以色列國家網(wǎng)絡(luò)局發(fā)布聯(lián)合警告，自2023年11月22日以來，伊朗伊斯蘭革命衛(wèi)隊的網(wǎng)絡(luò)行動者一直在積極攻擊并破壞美國供水和廢水系統(tǒng)使用的運營技術(shù)。受損設(shè)備（比如以色列猶尼康公司制造可編程邏輯控制器）被公開暴露在互聯(lián)網(wǎng)上，使用的是默認密碼。

這些機構(gòu)建議供水系統(tǒng)可以“立即采取三項措施減輕惡意活動的影響”。但他們只能建議，因為環(huán)保署的備忘錄已被撤銷。

這些措施包括實施多因素身份驗證，使用強大、獨特的密碼，以及檢查安裝設(shè)備是否使用默認密碼。這與環(huán)保署3月份備忘錄不謀而合。備忘錄配套的網(wǎng)絡(luò)安全檢查清單推薦的前四項措施中，有三項與上述建議完全相同：“啟用多因素身份驗證”、“要求密碼達到最小長度”、“更改默認密碼”。

因此，伊斯蘭革命衛(wèi)隊正在利用的缺陷，正是幾個月前各州和供水系統(tǒng)團體爭辯稱，評估供水系統(tǒng)設(shè)備和運營時無需考慮的弱點。

反監(jiān)管致使

全面網(wǎng)絡(luò)安全立法遙遙無期

拜登政府針對管道、鐵路和航空部門的網(wǎng)絡(luò)安全規(guī)定都強調(diào)了安全和可靠性，但沒有明確提到網(wǎng)絡(luò)安全。到目前為止，這些規(guī)定都依然有效。然而，美國法院對聯(lián)邦監(jiān)管持敵對態(tài)度。最高法院在2021年的裁決就是典型案例。裁決規(guī)定，除非國會明確授予權(quán)力，否則聯(lián)邦機構(gòu)不能處理重大問題。裁決可能已經(jīng)減緩了拜登政府為其他部門制定網(wǎng)絡(luò)安全規(guī)定的努力。正是受此影響，政府決定放棄環(huán)保署備忘錄。

值得肯定的是，政府繼續(xù)尋找加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的途徑。就在12月6日，美國衛(wèi)生和人類服務部發(fā)布了網(wǎng)絡(luò)安全計劃，表示將利用現(xiàn)有權(quán)力，為接受醫(yī)療保險和醫(yī)療補助支付的醫(yī)院制定網(wǎng)絡(luò)安全要求。

然而，要迅速而明確地推進網(wǎng)絡(luò)安全，需要國會采取行動。由于國會山被反監(jiān)管情緒籠罩（其他不利因素就更不用提了），全面的網(wǎng)絡(luò)安全立法是不可想象的。但就在去年12月，國會確實有所行動，授予美國食品藥品監(jiān)督管理局頒布聯(lián)網(wǎng)醫(yī)療設(shè)備網(wǎng)絡(luò)安全標準的特殊權(quán)力。

行業(yè)自律試圖推動網(wǎng)絡(luò)安全改進

諷刺的是，曾反對環(huán)保署備忘錄的美國供水協(xié)會現(xiàn)在呼吁制定聯(lián)邦立法，為飲用水和廢水系統(tǒng)建立監(jiān)管體制。他們建議成立一家行業(yè)主導的私人組織，制定網(wǎng)絡(luò)安全要求，經(jīng)環(huán)保署批準后加以執(zhí)行，受到環(huán)保署監(jiān)督。

這個概念模仿了早在2005年就根據(jù)《能源政策法案》建立的大型電力行業(yè)監(jiān)管系統(tǒng)。網(wǎng)絡(luò)空間日光浴委員會工作人員將這個概念翻譯成立法語言，但迄今尚未提出這樣的立法。貿(mào)易協(xié)會及其盟友，既然已經(jīng)證明他們有能力阻止環(huán)保署的行動，那么他們是否有意愿和能力讓國會通過任何法案？

環(huán)保署加強水務系統(tǒng)網(wǎng)絡(luò)安全的努力遭到各種手段的限制。想要打破這些限制，需要針對相關(guān)機構(gòu)、行業(yè)逐個擊破，找到其他渠道讓國會可以逐步采取行動。與此同時，政府只能懇求美國的飲用水供應商更改默認密碼。

參考資料：lawfaremedia.com

來源：安全內(nèi)參