本文讲的是 报告:核设施网络安全风险被低估,英国皇家国际事务研究所(Chatham House)周一发布的报告称,核工业仍未充分认识到网络攻击的风险。
该报告聚焦民用核设施网络安全,基于对来自英国、加拿大、美国、乌克兰、俄罗斯、日本、法国和德国的30位行业从业人员的访谈。
2010年攻击伊朗核设施的震网病毒清晰呈现了网络攻击的威胁。然而,这份英国皇家国际事务研究所耗时18个月的研究报告显示:尽管国际原子能机构(IAEA)近期采取了重要举措,核电业仍落后于其他产业。
虽然核设施在物理安全和防卫上准备得很充分,其越来越依赖于数字系统的事实却意味着它们需要准备好应对一种新型威胁,即来自网络空间的攻击。
工业控制系统(ICS)软件存在的大量漏洞令核设施成为恶意攻击者易于下手的目标。尽管很多人认为由于重要系统是物理隔离的(比如与公共互联网相互隔绝),负责关键基础设施的组织面对破坏性网络攻击的风险很低,皇家国际事务研究所却认为,在核设施这件事上,这种想法不过是天真的神话。
该研究发现,很多核设施采用虚拟专用网(VPN)和其他类型的网络接入,且操作员很可能没意识到它们的存在。
皇家国际事务研究所发现的主要问题之一与风险评估有关,这些评估有可能不够充分并导致网络安全预算的裁减。专家们认为,需要有准确评估和衡量风险的指导方针,以便董事会和首席执行官能够认识到什么是利害攸关的。
导致风险被低估的因素之一,是网络安全事件披露的罕见性。安全事件甚少曝光的事实可能致使核工业乐观地认为自身并非网络攻击的目标。报告显示,核工业和其他产业的交流非常有限,与网络安全公司和厂商的交流也是如此,而这也是需要关注的问题点。
涉及到核设施安全防护时,还有一系列文化上的问题,包括运行技术(OT)工程师和信息技术(IT)工程师之间的沟通困难,网络安全规程和培训的缺失,以及被动式网络安全方法。皇家国际事务研究所基于其进行的访谈确信:所有这些问题反映出核设施并未准备好侦测并处理网络攻击。
至于技术挑战,由于可能导致宕机的兼容性问题和供应链漏洞而需要面对打补丁的麻烦,该报告将工业控制系统视为“设计上就不安全的”。
“核工业整体需要更坚强的决心在网络空间采取行动,促进和培育网络安全文化,确定投资重点,确保足够的持续的资金被投放到有效应对挑战上。建立国际网络安全风险管理战略和鼓励信息在所有利益相关者间自由流通也是必需的。”皇家国际事务研究所在其报告中写道,“这就要求核工业发展合适的机制和协调一致的行动计划来解决已发现的技术短板,以及找到监管和个人责任之间的良好平衡。”