據洩露給媒體的一份電網官員的機密備忘錄顯示,一年前,一名身份不明的計算機入侵者試圖從中國的一個網際網路地址發起 4800 次高速登入嘗試,以滲透科羅拉多河下游管理局的發電網路。
總部位於馬里蘭州漢諾威的Accuvant LABS網路安全諮詢公司副總裁大衛·邦維蘭表示,這可能只是業餘人士所為。
他說,隨著智慧電網技術在全國的輸電網路和公用事業控制中心中普及,並最終到達企業和住宅電力使用者,未來將面臨更大的挑戰。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保關於塑造當今世界的發現和想法的具有影響力的故事的未來。
他說:“存在已知漏洞,也存在尚未被發現的漏洞。”邦維蘭和其他專家一致認為,駭客破壞一個嚴密管理的電網控制系統的風險遠低於入侵金融或工業網路,但後果可能要嚴重得多。
前北美電力可靠性公司(聯邦指定的電網監控機構)首席安全官邁克爾·阿桑特表示,威脅範圍的擴大速度快於公用事業部門的應對速度。阿桑特去年離開了NERC,成立了一個新的非營利組織,即國家資訊安全審查委員會,該委員會為公用事業網路防禦者提供技術認證資格。該認證旨在識別精英網路安全專業人員。
阿桑特在一次採訪中說:“智慧電網增加了系統的複雜性。” “技術更多,更多網路高度互連以共享資訊。您增加了整體攻擊面。您正在部署不再位於您控制的建築物中的技術,並且您正在透過無線方式將其部署到家中。”
阿桑特說:“而且,您正在以如此大的規模部署它,管理和維護安全是一項真正的挑戰。” 他說:“我們應該部署這項技術”,因為它前景廣闊。“但是,我們必須瞭解弱點在哪裡。”
一些專家表示,智慧電網的推出在提高人們對威脅的認識的同時,也增加了脆弱性。 Accuvant LABS主管喬恩·米勒說:“智慧電網是公用事業領域有史以來發生的最好的事情之一。人們真的開始看到那裡存在威脅。”
他說:“智慧電網將使技術管理成為任何公用事業公司的核心部分。” 但他說,這種轉變在一些能源公司中發生的速度比其他公司更快。
公用事業控制室需要安全“底線”
據美國政府問責局稱,目前的門檻挑戰是安全標準的制定進展緩慢,這些標準為保護髮電機和輸電控制室設定了底線。美國政府問責局在 3 月 11 日的一份報告中呼籲美國國家標準與技術研究院完成網路安全指南的更新,並得出結論認為,聯邦能源監管委員會需要更強大的流程來監控行業對網路標準的合規性。
美國政府問責局的報告還引用了向美國計算機應急響應小組 (US-Cert) 報告的聯邦機構遭受網路攻擊的急劇增加。2010 財年,網路事件總數為 41776 起,五年內增加了 650%。
專家表示,標準制定過程受到了管轄權問題和需要就應對快速演變的威脅尋求耗時的公用事業行業共識的困擾。
為了回應美國政府問責局的批評,聯邦能源監管委員會主席喬恩·韋林霍夫明確指出,當國會在 2005 年《能源政策法案》中制定電力行業網路安全標準的流程時,該機構處於被動姿態:聯邦能源監管委員會可以批准或拒絕透過 NERC 的行業共識流程制定的網路標準,但它不能做更多的事情。
由於聯邦能源監管委員會的監管許可權僅限於州際高壓輸電網路,因此它對城市向客戶輸送電力的公用事業配電網的網路安全沒有直接影響。州公用事業委員會負責監督電網的該部分。韋林霍夫在回覆美國政府問責局的上個月的回覆中說,聯邦能源監管委員會、全國公共事業監管委員會協會、美國公共電力協會和全國農村電力合作協會正試圖協調一種共同的方法。
官員表示,自 2005 年法案透過以來,經過多年不協調的努力,網路問題已開始在某些方面取得進展,儘管一些困難的監管政策談判仍在前方。
管轄權爭議依然存在
NERC 的董事會在 12 月批准了一份新的詳細清單,電力和輸電公司應遵循該清單來識別其系統中將受網路保護法規約束的關鍵部分。該清單回應了一些國會議員和聯邦能源監管委員會工作人員的批評,他們認為一些公用事業公司將關鍵設施排除在“關鍵資產”清單之外,以限制未來網路立法的範圍。這項新政策正在等待聯邦能源監管委員會的行動。
NERC 的受託人還在 12 月批准了一項新的監管審批流程,該流程旨在防止聯邦能源監管委員會尋求的新網路和可靠性標準因未能獲得 NERC 電力公司成員的絕大多數批准而被擱置。聯邦監管機構在 2010 年 3 月指示 NERC 提出解決僵局問題的方案,一年後,解決方案即將出現,預計很快將獲得聯邦能源監管委員會的最終批准,官員們說。
另一個涉及核電站的管轄權問題已經克服。官員說,核管理委員會已同意承擔核電站所有系統(不僅僅是反應堆)的網路安全監督責任。核管理委員會和聯邦能源監管委員會之間的一份諒解備忘錄解決了這個問題。
但是,一項新的參議院倡議可能會重新引發聯邦政府和各州之間關於網路標準的管轄權爭端。
韋林霍夫在 3 月 10 日致美國政府問責局的信中說,《聯邦電力法案》適用於高壓州際電力傳輸,“幾乎排除了紐約等某些大城市的所有電網設施,因此妨礙了委員會採取行動來減輕涉及此類設施和主要人口地區的網路安全或其他國家安全可靠性威脅。同樣重要的是要注意,許多智慧電網裝置將安裝在配電設施上,並且不屬於委員會的《聯邦電力法案》管轄範圍。”
上週,參議院能源與自然資源委員會主席傑夫·賓加曼(民主黨,新墨西哥州)和共和黨資深議員麗莎·默科夫斯基(共和黨,阿拉斯加州)散發了一份關於網路保護政策的法案草案,該草案將賦予聯邦能源監管委員會對其一直在尋求的關鍵配電網路的管轄權。擬議的措辭稱,該法案將涵蓋聯邦當局認為對美國安全或國家公共衛生和安全至關重要的“影響州際貿易的發電、輸電或配電”。
最不安全和最安全之間的巨大差距
該委員會表示,將於 5 月舉行關於該立法的聽證會。參議院助手錶示,多數黨領袖哈里·裡德(民主黨,內華達州)已開始與幾個對網路安全問題感興趣的參議院委員會的領導人舉行會議,尋求今年採取協調一致的行動。
但阿桑特堅持認為,即使成功完成電力部門網路保護的標準和規則,如果該行業的網路管理人員的技術能力沒有得到提升,也仍然不夠。
阿桑特引用的案例研究是“震網”計算機蠕蟲,行業專家認為該蠕蟲在 2009 年年中滲透到伊朗核電基礎設施的一部分,破壞了其一些關鍵的鈾濃縮離心機。
阿桑特說,俄羅斯一家安全公司在 USB 快閃記憶體驅動器上發現了“震網”網路武器的程式碼,該武器的作者仍未公開身份,並且是激烈猜測的物件。該 USB 儲存棒是由另一家公司的安全專家交給俄羅斯公司的,該專家將儲存棒插入計算機並注意到一閃而過的異常響應。
他說,該專家沒有對這種異常現象不屑一顧。 “他的反應不是‘好吧,這很奇怪,然後繼續前進’,這是典型的毫無意識的反應。…很容易說‘好吧,這沒用。讓我們重新啟動計算機。’”
阿桑特說,電網的可靠性是基於計劃,以便在電廠突然停機、電力線被切斷或變壓器發生故障時保持電力流動。網路挑戰是不同的。“規劃工程師習慣於說‘如果這種情況消失了,系統還能安全執行嗎?’”
“我想對他們說的是,如果它沒有消失,但您系統的這一部分被濫用”來威脅系統會發生什麼?
阿桑特說,在那些認真考慮提高網路威脅壁壘並培訓人員使用它們的電力公司,以及那些意識和準備工作不足的其他公司之間,仍然存在太大的差距。
“一些公用事業公司無疑更具有前瞻性。他們有更多技術熟練的員工,並且他們能夠做更多的事情來保護他們的系統。其他公司則因獲得技術技能的挑戰而受挫。” 他說,田納西河谷管理局是一個制定高標準的電力供應商的例子。 “意識是不同的。這不是一項簡單的任務,”他說。“還有工作要做。”
經環境與能源出版有限責任公司許可,轉載自氣候新聞專線。www.eenews.net, 202-628-6500