详细内容或原文请订阅后点击阅览
关键基础设施保护:EPA 迫切需要一项战略来应对水和废水系统的网络安全风险
美国政府问责署发现水务部门面临越来越大的网络安全相关风险。虽然正在制定网络事件的国家报告要求,但已知事件已经扰乱了水务部门的运营。各国(包括伊朗和中国)、网络犯罪分子和其他人已经将水系统作为目标。例如,外国黑客在 2023 年底针对多个水系统。网络攻击威胁着公共卫生、环境和其他关键基础设施部门。水和废水系统对网络攻击的脆弱性联邦机构和其他实体已采取行动改善水务部门的网络安全,但报告称存在诸如劳动力技能差距和较旧技术难以通过网络安全保护进行更新等挑战。此外,该部门在网络安全保护方面的投资有限,因为水系统优先考虑资金以满足清洁和安全水的监管要求,而改善网络安全是自愿的。美国环境保护署 (EPA) 在 2024 年 5 月的一份警报中表示,计划增加执法活动,以确保饮用水系统应对网络安全威胁。EPA 已评估了网络安全风险的各个方面,但尚未进行全面的全行业风险评估,也未制定和使用风险知情战略来指导其行动。法律以及国家安全备忘录 22 (NSM-22) 要求 EPA 识别、评估和优先考虑水行业风险。EPA 官员表示,他们已经评估了
来源:美国政府问责局__国土安全 空间信息Gao发现了什么
水部门面临着与网络安全相关的风险的增加。尽管正在制定针对网络事件的国家报告要求,但已知事件破坏了水部门的运营。国家(包括伊朗和中国),网络犯罪分子以及其他国家针对水系统。例如,外国黑客在2023年末针对多个供水系统。网络攻击威胁着公共卫生,环境和其他关键基础设施部门。
水和废水系统对网络攻击的脆弱性
联邦机构和其他实体已采取行动来改善水部门的网络安全,但报告了诸如劳动力技能差距和旧技术等挑战,这些技术难以通过网络安全保护进行更新。此外,该行业对网络安全保护进行了有限的投资,因为水系统优先考虑资金以满足清洁和安全水的监管要求,同时改善网络安全是自愿的。在2024年5月的警报中,环境保护署(EPA)表示,计划增加执法活动,以确保饮用水系统应对网络安全威胁。
EPA评估了网络安全风险的各个方面,但没有进行全面的范围内风险评估,也没有开发和使用风险知名的策略来指导其行动。 EPA是法律要求的,以及国家安全备忘录22(NSM-22),以确定,评估和优先考虑水部门风险。 EPA官员表示,他们已经评估了威胁,脆弱性和后果,但尚未将这项工作整合到全面评估中。如果没有风险评估和指导其努力的策略,EPA限制了其努力解决最高风险。