2015年底發生在烏克蘭的電力公司的網絡攻擊使得225000人陷入黑暗。這是第一次被確認由網絡攻擊造成的廣泛停電。工業控制系統安全專家認為,類似襲擊很可能發生在美國,而美國國會正準備採取行動旨在阻止黑客能夠通過網絡「拉燈」的立法。
該法令由Sens. Lisa Murkowski和Maria Cantwell共同提議,法令共27頁,擬賦予能源司在國家電網遭到網絡攻擊時採取某些「措施」,旨在提高華盛頓如何應對黑客的能力,而不是把預防放在首位。
該法令的草案提出自2017年到205年,每年撥轉款$1億用於網絡安全的研究和發展、培訓和配套的措施,強化對電網的攻防。
目前白宮對該措施持有所保留的支持,但它在國會山的命運如何尚不能確定。
該法案在美國政界還是得到了眾多的支持,越來越多的政府官員現在強調必須保護電力系統。本周二,美國國土安全部長Jeh Johnson說烏克蘭的黑客時間"相當複雜",應作為「打電話叫醒」級別的緊急情況。
參議院能源委員會目前還在對聯邦經費的使用爭執不下,所以很難說該法令能否在參議院通過,即使通過還面臨白宮的挑戰。白宮給出的回答是,支持該項措施,但它忽略了"處理網絡安全和計算關鍵安全問題所需考慮事項"。儘管政府官員拒絕透露具體情況,但表示歐巴馬會與與國會開放合作,改善條例草案。
政府以外,網絡安全專家對此沒有保持沉默,從不同視角給出了建議。
目前的大部分開支計劃,轉到能源部門維持更好的工具和技術來保護網絡。同時,測試其應急反應能力、提高人員培訓、發掘電力網絡漏洞、保護供應鏈、進行系統受損分析。
Robert Lee SANS前美空軍網絡官員認為,還需改善條例草案包括:利用稅收激為員工提供網絡安全培訓的公司,鼓勵公司投資於具有強大的安全功能的新產品。
Michael Tadeo參議院能源委員會發言人認為:加強網絡防禦需要專用人才。雖然我們的工作遠遠沒有完成,但通過能源法案是重要的下一步。
Perry Pederson Langner安全的創始人,則認為:電力公司往往都是幾十年的計算機系統,而保護這種系統狀態是不小的任務,需要重大投資。
相反,美電力行業官員則對目前黑客的威脅保持樂觀,部分人甚至堅稱電力網絡是安全的。
北美電力可靠性公司首席安全官兼高級副總裁Marc Sachs,對此法案只說了一個字「No!」他把該項法規視為:
迫使運營商大力投資於網絡安全措施的強制性法規!
他認為:烏克蘭的事件是因為烏克蘭人犯了很多錯誤!該法規目前過於超前。而在此領域,美國和加拿大是領先於歐洲和亞洲的數「光年」!
Southern Company的頭兒,Tom Fanning本周三在新美國基金會會議上的講話中稱:美國的電網能夠100%的不受網絡威脅嗎?不可能。但我們安全嗎?絕對是的!
(S認為口氣太大了,裝B遭雷劈啊!)
中央情報局局長John Brennan,說的比較現實,美國電網沒有因網絡攻擊而停電,是因為俄羅斯、中國、朝鮮和伊朗能夠實施這類攻擊,但不想去做。那些可能有能力的人並沒有意圖,而那些人可能有的意圖現在並不具備能力。
電力網絡的漏洞其實遠遠超出網絡空間領域。2013年,有人切斷了光纖電纜,然後使用高性能步槍射擊加州變電站的變壓器,慶幸的是沒有造成大停電,但這一事件儘管如此嚇壞了美國官員,他們認為這是一例龐大網格的安全漏洞很多點。
美國人也是「屁股決定腦袋啊!」。做安全的人說電力能源的立法重要,搞培訓的就嚷嚷要給培訓企業稅收激勵,做產品的就強調需要對新產品研發投資;而電力企業可不想出這個冤枉錢;白宮則在當「攪屎棍」!童鞋們,是不是感覺工控安全的市場中美有些許雷同呢?