《能源基础设施安全法》(Securing Energy Infrastructure Act) 将采用低技术含量方法改善美国电网网络防御。
美国披露电网防护方案,拟采用 “倒退” 技术对抗电网网络攻击。
《能源基础设施安全法》旨在通过 “与产业界合作,运用工程概念清除漏洞,防止黑客利用数字软件系统中的漏洞访问电网,从而防卫美国能源网络。”
该法案于 2019 年 6 月 28 日经美国参议院审议通过,将探讨用低技术含量方法替代自动化系统的方案,比如用人工过程而非联网方式,直接由人类操作员来控制。
美国政府宣称,该方式将大大增加网络攻击难度,挫败最高端的网络对手:如果他们想要访问电网,必须实际接触到相关设备。
引入该法案的参议员 Angus King 称:我们的世界联网程度越来越深,新机遇与新威胁也随之涌现。
连接性是一种力量,如果保护不好,就会被敌人当作弱点利用。该法案为提升我们的防御迈出了重要一步,让驱动我们生活的电网免于暴露在地球另一端发起的破坏性攻击之下。
该参议员的幕僚表示,法案是受到 2015 年乌克兰电网基础设施所遭网络攻击的启发而提出的。2015 年乌克兰圣诞大断电致该国 22.5 万人陷入黑暗与寒冷,据传是其邻国俄罗斯干的。
该攻击据信由俄系黑客组织 “黑色能量” (BlackEnergy) 发起,归属针对乌克兰基础设施的一系列攻击之一。一年之后,进一步的攻击袭来,断电再次发生。
如果不是乌克兰依靠手动技术操作电网,攻击的后果将会更加严重。
方案中将会采取的一些措施包括:用为期两年的探索性研究确认新的安全漏洞和研究攻击缓解系统;成立工作组评估由国家实验室提出的技术解决方案;要求能源部长向国会提交报告阐述项目结果。
Nozomi Networks 联合创始人 Andrea Carcano 称,虽然该方法可能会减少网络风险,但相关操作性影响也应仔细评估。
他表示,操作风险、安全、卓越流程管理和网络风险无法解耦。工业现代化的力量不可阻挡,也无法拖延。公司企业和政府部门都应采取措施稳妥推进数字转型,而不是因噎废食。
就国家关键基础设施而言,运营成本的增加和效率的降低是可以忍受的,只要确实能降低看得到的网络风险,但该方法需谨慎平衡应用。制造业和工业过程的情况则不然,低效会造成公司市场竞争力的下降,是万万无法忍受的。
相关阅读