伊利诺斯州供水公用事业部门遭黑客攻击的报道受到了公众的关注,社会提出了这样一个问题:美国在重要基础设施上安装的识别网络攻击的报告系统很糟糕,相关部门还需要重新思考这个问题。
美国联邦调查局(FBI)和国土安全部(DHS)均表示,没有证据表明伊利诺斯州供水系统水泵出现故障是因为遭受了黑客攻击。
自从2000年以来,国土安全部一直鼓励各个州和城市建立所谓的“Fusion Centers”(融合中心)。这个中心在本地政府控制下运行,收集电力供水等有可能与国家安全有关的数据。
据国土安全部称,美国目前有72个融合中心,各个中心都采取不同的方法。11月10日,众多融合中心当中的一个——伊利诺斯州恐怖主义和情报中心(STIC)发布了一个简短的题为“公共供水系统网络入侵”的报告后,这个报告就引起了争议,突显了目前美国重要基础设施安全反应系统工作方式的弱点。
来自伊利诺斯州STIC的报告称,伊利诺斯州某公司用于控制水泵的SCADA(监视控制与数据采集)系统遭到了来自俄罗斯的网络攻击,导致水泵反复打开和关闭,进而被烧毁。此外,STIC报告称,某个信息技术服务公司在检查了SCADA系统之后认为,黑客攻击该SCADA系统已经长达数月并且设法获取了用户名和口令。
这个STIC报告已经发送给国土安全部进行审查。国土安全部称,这是一个例行性的程序。但是,国土安全部工业控制系统网络应急响应小组(ICS-CERT)后来说,其在11月16日才知道这篇报告。
这篇报告是在与伊利诺斯州STIC有关的部门之间共享的,属于保密级的。但是,与伊利诺斯州STIC有关的一家公用事业公司运营者受到了这篇报告的困扰并且在寻求得到指导意见。他向应用控制解决方案部门负责人、知名的能源行业专家乔·韦斯(Joe Weiss)披露了这个情况。
韦斯在自己的博客中公布这篇报告后,引起了媒体大爆发。华盛顿邮报和其它新闻媒体称这个事件可能是对美国重要基础实施进行的最为严重的网络攻击。
经过媒体大肆报道,国土安全部和FBI就要与ICS-CERT协调公开解释他们如何排遣一个小组去伊利诺斯州供水部门展开调查。联邦政府首次提到这个部门的名字是在伊利诺斯州斯普林菲尔德的Curran-Gardner镇公共供水区。这个部门为2000多个用户服务。
ICS-CERT在11月23日发布的一个公告称,该部门在11月16日获悉伊利诺斯州STIC的报告后,就立马派人去STIC收集额外信息。ICS-CERT获得了一个记录文件。然而,最初的分析不能证明有任何证据支持曾发生网络入侵的说法。
Curran-Gardner本身不愿意讨论此事。但是,国土安全部和FBI现在称,在详细分析之后,国土安全部和FBI没有发现伊利诺斯州斯普林菲尔德的Curran-Gardner镇公共供水区的SCADA系统遭到网络入侵的证据。
华盛顿邮报也报道了这个事情并且后来引述某个知情人士的话说,远程访问SCADA是Curran-Gardner的一个承包商实施的。他当时碰巧在俄罗斯。
这个承包商的名字是Jim Mimlitz,是Navionics Research公司的创始人和老板。他现在公开表示,他今年6月曾在俄罗斯休假并且应Curran-Gardner的要求远程访问了SCADA系统。他说,他没有向他们提到他在俄罗斯休假。
目前还不清楚这个在6月份发生的事情在CERT的报告中如何被认为是在11月发生的黑客事件。韦斯向《网络世界》逐字逐句地阅读了这个报告。这篇报告缺少有关可能的入侵的细节、与SCADA有关的问题和实际发生了什么事情。
国土安全部最终的结论是:没有任何证据支持最初的报告中的说法,没有任何证书被窃或者没有任何厂商参与导致那个水厂水泵故障的恶意活动。这个报告是以未经证实的数据为基础的并且随后泄露给了媒体。此外,国土安全部和FBI还做出结论称,没有像以前报告的那样有来自俄罗斯或者任何外国实体的恶意通讯。
但是,国土安全部确实补充说,对于这个事件的分析仍在进行之中。在有结果后将发布额外的相关信息。
一些安全专家指出,他们发现一个SCADA承包商能够从俄罗斯远程访问美国设施的SCADA系统这个事情应该受到谴责。
Unisys网络安全产品组合解决方案部门主管安德烈·艾迪(Andre Eaddy)说,这毫无疑问是一种糟糕的安全做法,可能是这次调查中最糟糕的信息。大多数机构都会限制来自某些国家的通讯,特别是来自俄罗斯和中国的通讯。那是因为有许多与恶意软件有关的攻击来自于这些国家。不值得冒这个风险。甚至携带包含承包商信息的笔记本电脑到那里去也被认为是不安全的。
韦斯说,承包商能够从俄罗斯直接访问一个SCADA系统是令人震惊的。但是,最大的问题是我们没有控制系统证据和记录。这意味着很难准确地了解在发生了可能的突破事件之后发生了什么事情,在什么地方和什么时候发生的。
韦斯指出,在整个事件中,伊利诺斯州STIC融合中心发布了一个非常直接的报告,没有表明这个报告是初步的和没有经过证实的。这个报告包含了爆炸性的信息。这个事件表明美国重要信息报告系统是多么糟糕。
韦斯说,伊利诺斯州的说法是极为恐怖的。很难理解ICS-CERT、国土安全部和FBI在一个多星期之后才介入此事并且说这个报告是错误的。韦斯还指出,各个融合中心都报告不同的事情。这些报告在提交给华盛顿的国土安全部之前似乎都在本地传播。韦斯不清楚这些融合中心为什么在没有搞清楚事情是否正确就发布报告。
韦斯认为,联邦政府协调的部门Water-ISAC和水公用事业部门应该获悉伊利诺斯州STIC的报告。
业界一些人士认为韦斯公开披露伊利诺斯州STIC报告有些越界了。但是,韦斯说,他与这篇报告没有任何官方联系并且没有任何为这个文件保密的义务。
11月23日,国土安全部下属ICS-CERT部门发布一个有关“伊利诺斯州水泵故障报告”的安全公告,指出没有任何证据支持最初的STIC报告中的说法。那篇报告是以未经证实的数据为基础的并且后来泄露给媒体。没有任何证书被窃或者没有厂商参与导致那个水厂的水泵故障的任何恶意活动。
ICS-CERT没有提到韦斯的名字,指出公告讨论对于它的例行性的流程的影响。这个流程一般是保密的。公开披露受影响的单位名字和事件信息是不同寻常的,不是ICS-CERT正常的事件报告和分类流程的一部分。在这个案例中,由于未经证实的信息已经泄露给公众,ICS-CERT以及这个资产拥有者/运营者都认为,协作分析所有可用的数据和披露分析结果对于这个社区是最有利的。
国土安全部的消息人士称,对于融合中心的总的看法是它们只是收集信息的地方。国土安全部是验证这个信息合法性的最权威的部门。融合中心不仅包括重要基础设施公司,而且还包括私营部门的合作伙伴。例如,思科称它属于许多融合中心,如果检测到严重的恶意攻击,它会立即提供信息。
国土安全部通过联邦应急管理局(FEMA)授权向融合中心提供资金,但是,期待州和本地政府赞助一个中心承担基本的财务和管理职能。国土安全部承认,融合中心在活动和做法方面有很大不同,尽管自从2008年以来一直努力推动建立基本的智能和通用的工具集。
然而,国土安全部现在不能确切地解释要求企业报告什么异常情况或者安全事件。
Gartner分析师约翰·佩斯卡托雷(John Pescatore)在谈到融合中心时说,现在,这不是一个好的模式。不仅情报收集功能要改进,而且还要提供更多的来自其它渠道的预防性信息,帮助私营行业的企业确切地了解真正的威胁。
