我们知道关键基础设施是网络攻击的主要目标:2024 年 3 月,白宫发布了一封信,警告各州长不要对全国的水务和公用事业公司 发起“禁用”网络攻击。
今天,总部位于新泽西州、服务超过 1400 万人的公用事业公司American Water宣布发生一起网络安全事件,其中包括未经授权的系统访问。截至撰写本文时,American Water 的计费系统和客户门户均处于离线状态,以防止进一步损害组织的环境或数据。
美国水务公司并非孤例:美国国家情报总
监办公室报告称,在短短六个月内(2023 年 11 月至 2024 年 4 月),伊朗相关和亲俄网络行为者对美国工业控制系统 (ICS) 发动了 35 多次网络攻击。这些攻击针对的是美国管理农业、食品、水、医疗保健、学校、地方政府等的系统。
国家情报总监办公室报告针对公用事业的网络攻击
图片来源:国家情报总监办公室网络攻击者为何会攻击公用事业?在最近的Virtru 公用事业安全案例研究中,为弗吉尼亚州西南部 16,000 名电力客户和近 8,000 名水和废水客户提供服务的 BVU 管理局解释了为什么公用事业公司是网络犯罪分子的高价值目标。“我们的行业受到严重攻击……许多人没有意识到这个行业是目标,”IT 总监 Todd Jones 强调道。这是因为公用事业公司不仅管理社区日常生活所依赖的关键基础设施,还管理大量个人身份信息 (PII):地址、电话号码、社会安全号码等等。
因此,根据网络攻击者的动机,他们可以实现多个目标:
金钱激励: 公用事业公司管理大量的 PII,这些信息可以出售以牟利或用于间谍活动。
供应链妥协:小型公用事业公司通常与供应链合作伙伴网络相连,包括州、地方和市政府以及其他类型公用事业的提供商。
破坏:通过操纵公用事业系统,黑客可以颠覆美国公民的生活。破坏的下游影响包括社会混乱和公众对服务机构的信任度下降。
危害:水源和医疗保健系统的破坏尤其会对民众造成身体伤害。此外,在关键基础设施遭受攻击后,社区可能会遭受经济损失和资源枯竭。
为什么公用事业公司需要分层网络安全
和其他组织一样,公用事业提供商需要多层保护来加强其安全性。以下是这些层如何为公用事业公司发挥作用的一些示例。
层 描述身份管理
管理可以访问公用事业信息的个人和系统,并验证这些实体的身份(例如身份和访问管理;多因素身份验证)
端点和设备安全
保护可以访问公用事业公司信息的物理设备(例如,物联网连接的水质传感器;员工的笔记本电脑和手机;执行器;智能电表)
网络(周边)安全
防御性地保护组织内部拥有的数据(例如防火墙、入侵检测系统、入侵检测、事件响应)
应用程序安全
保护整个组织使用的应用程序(例如,水管理软件;通过 Snowflake 或 Tableau 等第三方平台处理的分析;Salesforce 或 Zendesk CRM)
数据安全(国防)
保护内部拥有的数据(例如文件加密、防止商业电子邮件泄露、防止数据丢失)保护必须外部共享的敏感数据:端到端加密、易于使用的电子邮件和文件安全、细粒度的访问控制、管理员可见性和控制。
CISO 的工作非常艰巨,尤其是当社区的福祉直接受到组织的成功和安全影响时。这就是为什么这些分层保护至关重要:如果某一层发生故障,或者有恶意行为者获得公司系统的访问权限,这些层可以提供额外的安心并降低风险。
下一步是选择合适的列表格式。电子表 格或联系人管理 如何建立电话号码清单 应用程序等数字工具提供了灵活性和易用性。流行的软件选项(如 Microsoft Excel 或 Google Sheets)允许用户为姓名、电话号码电子邮件以及与每个联系人相关的任何其他注释创建可自定义的列。如果更喜欢实体副本。
全国呼吁优先考虑关键基础设施安全
在上述白宫致水务部门的信函中,强有力的安全保障至关重要:
破坏性的网络攻击正在袭击美国各地的水和污水处理系统。这些攻击由国家和犯罪分子发起,可能会破坏清洁安全饮用水这 7 个会让你付出惨痛代价的入站营销策略错误 关键生命线,并给受影响的社区带来巨大损失。
公用事业提供商必须迅速采取行动
利用政府计划和美国环保署和其他机构提供的补助金,对内部拥有的数据和外部共享的数据实施强有力的安全措施。这是社区在不断升级的威胁形势下保持弹性的唯一方法。
如果您的公用事业公司
地方政府或能源公司需要快速部署更强大的安全措施,我们希望您考虑 Virtru。我们的电子邮件和文件加密解决方案通过端到端加密和细粒度的访问控制来保护您的敏感数据,以实现零信任数据共享,让您能够与供应链和政府合作伙伴共享敏感信息,而不会影响安全性或控制。借助Virtru 私钥库,您可以管理自己的加密密钥,以增强数据主权和控制力。
Virtru 受到 10 多个州政府的信任
包括西弗吉尼亚州、犹他州 移动电话号码列表 和马里兰州。我们还为数百个地方市政当局、能源供应商、学校等提供服务:您可以在此处阅读和观看我们的客户故事。
想要了解更多信息?请联系我们的团队开始对话。Megan 是 Virtru 的品牌和内容总监。她拥有新闻和编辑内容方面的背景,喜欢讲述精彩的故事,让复杂的主题变得通俗易懂。在过去 15 年里,她的职业生涯一直追随她的好奇心 — 从旅游业到支付技术再到网络安全。
