近期,挪威海德鲁公司(NorskHydro)与美国瀚森化工公司相继爆出勒索软件攻击事件,这不仅导致瀚森化工的大量重要数据被锁定或丢失,更直接造成了海德鲁公司关闭自动化生产线,业务减产50%,股价下跌3%的连锁反应。
上述这些案例并非孤立,也非偶然。近年来,能源、化工、政府、金融、水利等关键信息基础设施(CriticalInformationInfrastructures,CII)行业的网络安全情况日趋严峻,特别是专门针对工控系统等目标的APT攻击,不仅给企业的网络安全防护带来了严峻的挑战,其威胁的持续发酵还可能给国家安全带来不可估量的危害和损失。
新技术背景下网络安全风险挑战CII行业供应链
随着物联网、云计算等技术在CII行业的深入应用,工控系统等信息化系统的链条正在向业务链的上下游不断延伸,连接着日益广泛的工业设备以及员工,这也意味着一旦发生信息安全风险,更多的业务以及数据将会被影响。在此次挪威海德鲁公司所遭受的勒索软件攻击中,就展现了物联网等技术的兴起给供应链系统带来的网络攻击风险,一旦网络不法分子通过勒索软件攻击等方式影响了供应链的某一环节,那么其它环节都有可能受到影响,甚至导致企业的生产计划无法如期完成。
CII行业的网络安全风险还体现在,任何一个微小的疏漏都有可能成为影响企业核心资源乃至社会稳定的重大隐患。通过公开来源的情报(OSINT),亚信安全在近期就发现了能源与水资源产业中,存在着许多暴露在外且容易遭到攻击人机界面(HMI)系统,这些系统包括各种水资源系统的监控界面,暴露了即时的能源产量,以及系统关机、重启等操作选项,甚至是用户数据库这样的重要信息,这也意味着黑客可以监控并利用这些系统的信息。
图:暴露在外的厂房设施人机界面(HMI)
尽管这些安全风险往往仅存在于中小企业,但是CII行业密切且衔接紧密的供应链系统让任何一个单点的风险都可能造成难以挽回的损失。例如,通过暴露在外的HMI系统,黑客可以对于小型企业的水供给系统发动攻击,进而关闭关键的水处理设施,导致业务中断,直接影响其服务地区的水资源供给,甚至威胁社会稳定。
对此,亚信安全COO陆光明认为:“随着CII行业的发展,用户将面临新旧风险共存的情况,比如用户采购的工控软件未及时升级打补丁、技术运维依赖于第三方、上游产品存在未发现的安全漏洞等。同时,5G技术的加速应用也会引入指数级增加的物联网终端设备,我们将面临更加复杂的安全形势,无疑对网络设施和安全运营提出更高的需求。”
构建应急响应能力