公用事业单位称,它们在可靠性方面有着良好记录,而且还在不断改善。但上月美国公用事业行业和行业监管机构联合发布的一份安全“路线图”承认,威胁扩大的速度“快于该行业制定并部署对策的能力”。该计划的目标是在2020年前部署网络安全体系。
在美国等一些国家,电网按地区被分割为许多块,从理论上讲,这应该能把每次的潜在损害限制在一块地区内。但纽约、华盛顿或其它主要枢纽地区的长时间停电,仍可能产生毁灭性影响——一周后,食品短缺问题将明显加剧——而恶意软件既然能破坏一个地区,就也能破坏其它地区。
让美国的基础设施防御变得更为复杂的除了监管权和所有权的分立,还有下面这一事实:为安全系统升级埋单的几乎总是私营部门,而非政府。而在中国等一些国家,政府对公用事业单位有着更多的控制权,对私人商业的干预也更为直接。
但美国或许也是网络进攻方面装备最强的。人们普遍认为,美国是去年Stuxnet病毒攻击的支持者——通过微软(Microsoft)和西门子(Siemens)软件的漏洞传播Stuxnet病毒,由此摧毁了伊朗的核设施。
很多人认为Stuxnet病毒开启了一个战争新时代,第一次有证据表明,美国和中国等国既有着巨大的能力,又有着巨大的弱势。自从那次攻击以来,Stuxnet代码一直在黑客论坛流传。安全公司McAfee和战略与国际研究中心(Center for Strategic and International Studies)在今年的一次调查中发现,过去一年,全球约85%的公用事业网络遭到过犯罪分子和间谍机构入侵,而就在Stuxnet病毒被发现之前,这一比例仅略高于50%。
但最令美国国防部门担心的是电网缺乏安全性。很多电厂以及工厂车间和管道都依赖于自动化设备,这些设备可以远程重新编程,甚至不需要普通电脑用户必须提供的身份验证。Red Tiger Security的约翰•波莱(John Pollet)表示,所有的设备制造商都存在“系统性问题”。该公司对150多家工厂进行了安全评估。
今年8月,Black Hat黑客会议上的报告显示,一些控制系统能够利用谷歌(Google)特别搜索定位,接着根据指令关闭或加速,这可能会引爆一家电厂或水处理厂。其中很多控制系统是在互联网连接普及之前设计的。
中国黑客曾入侵美国机构以及科技安全公司,包括防病毒软件公司赛门铁克(Symantec)及其它保护联邦政府网络的机构,这一事实说明了威胁的严重性。
