2016年美国环境保护署副署长珍妮特·麦凯布。

美国环境保护署(Environmental Protection Agency)周一警告称，针对全国水务公司的网络攻击正变得越来越频繁和严重，并发布了一项执法警报，敦促供水系统立即采取行动，保护美国的饮用水。

该机构说，去年接受联邦官员检查的公用事业公司中，约有70%违反了旨在防止违规或其他入侵的标准。官员们敦促即使是小型供水系统也要加强对黑客攻击的保护。与俄罗斯和伊朗有关联的组织最近发起的网络攻击针对的是较小的社区。

警报说，一些供水系统在基本方面存在不足，包括未能更改默认密码或切断前雇员对系统的访问。美国环保署表示，由于水务公司经常依赖计算机软件来操作处理厂和分配系统，因此保护信息技术和过程控制至关重要。网络攻击可能造成的影响包括中断水处理和储存;泵和阀门损坏;以及化学物质含量达到危险水平的变化，该机构说。

美国环保署副局长珍妮特·麦凯布说:“在许多情况下，系统没有做他们应该做的事情，也就是完成对包括网络安全在内的脆弱性的风险评估，确保计划可用，并告知他们开展业务的方式。”

私人团体或个人试图进入供水公司的网络，破坏或破坏网站并不是什么新鲜事。然而，最近，攻击者不仅攻击网站，还瞄准了公用事业的运营。

最近的袭击不仅仅是私人实体所为。最近一些针对水务公司的黑客攻击与地缘政治对手有关，可能导致家庭和企业安全用水供应中断。

美国环境保护署没有透露近年来发生了多少起网络攻击事件，而且迄今为止已知成功的攻击数量很少。

麦凯布指出，俄罗斯和伊朗正在“积极寻求使美国关键基础设施瘫痪的能力，包括水和废水。”

去年年底，一个名为“网络枪手”(Cyber Av3ngers)的与伊朗有关联的组织攻击了多个组织，包括宾夕法尼亚州一个小镇的供水商，迫使其从远程水泵改为手动操作。他们的目标是以色列对哈马斯发动战争后，该公司使用的一种以色列制造的设备。今年早些时候，一名与俄罗斯有关的“黑客主义者”试图破坏德克萨斯州几家公用事业公司的运营。

“通过与这些黑客组织在幕后合作，现在这些(民族国家)有了合理的否认，他们可以让这些组织进行破坏性的攻击。对我来说，这将改变游戏规则，”工业网络安全公司Dragos Inc.的网络安全专家道恩·卡普利(Dawn Cappelli)说。

据信，全球网络强国多年来一直在渗透竞争对手的关键基础设施，植入可能被触发破坏基本服务的恶意软件。

执行警报旨在强调网络威胁的严重性，并告知公用事业公司，如果发现严重问题，EPA将继续进行检查，并追究民事或刑事处罚。

麦凯布说:“我们要确保让人们知道，‘嘿，我们在这里发现了很多问题。’”

防止针对供水机构的攻击是拜登政府打击针对关键基础设施威胁的更广泛努力的一部分。今年2月，拜登总统签署了一项保护美国港口的行政命令。卫生保健系统受到了攻击。白宫也敦促电力公司加强防御。美国环保署署长迈克尔·里根和白宫国家安全顾问杰克·沙利文要求各州制定计划，打击针对饮用水系统的网络攻击。

里根和沙利文在3月18日致美国所有50位州长的信中写道:“饮用水和废水处理系统是网络攻击的一个有吸引力的目标，因为它们是生命线的关键基础设施部门，但往往缺乏采取严格网络安全措施的资源和技术能力。”

麦凯布说，其中一些修复是直截了当的。例如，供水商就不应该使用默认密码。他们需要制定一个风险评估计划，解决网络安全问题，并建立备份系统。环保署表示，他们将免费培训需要帮助的自来水公司。较大的实用程序通常拥有更多的资源和专业知识来防御攻击。

“在一个理想的世界里……我们希望每个人都有一个基本的网络安全水平，并能够确认他们拥有这个水平，”州饮用水管理员协会(Association of State Drinking Water Administrators)执行董事艾伦·罗伯逊(Alan robertson)说。“但那还有很长的路要走。”

有些障碍是根本性的。水务部门高度分散。大约有50,000个社区供水商，其中大多数为小城镇供水。在许多地方，人手不足和预算不足使得维持基本的工作——提供干净的水和跟上最新的法规——变得非常困难。

“当然，网络安全是其中的一部分，但这从来不是他们的主要专长。德克萨斯理工大学(Texas Tech University)的水资源专家艾米·哈德伯格(Amy Hardberger)说，所以，现在你要求一家水务公司建立一个全新的部门”来应对网络威胁。

美国环保署面临挫折。各州定期审查供水机构的表现。2023年3月，美国环保署指示各州在这些审查中增加网络安全评估。如果他们发现了问题，州政府应该强制进行改进。

但密苏里州、阿肯色州和爱荷华州，以及美国水务协会和另一个水务行业组织，在法庭上对该指令提出质疑，理由是根据《安全饮用水法》，环保署没有权力。在法庭受挫后，环境保护署撤回了其要求，但敦促各州采取自愿行动。

《安全饮用水法》要求某些供水商制定应对某些威胁的计划，并证明他们已经这样做了。但它的力量有限。

“法律中没有(网络安全)的权威，”罗伯森说。

美国水务协会负责联邦关系的经理Kevin Morley说，一些水务公司有连接到互联网的组件，这是一个常见但严重的漏洞。检修这些系统可能是一项重大而昂贵的工作。没有大量的联邦资金，供水系统很难找到资源。

该行业组织发布了公用事业指南，并倡导建立一个由网络安全和水资源专家组成的新组织，该组织将与美国环保署合作制定新政策并实施这些政策。

“让我们以合理的方式让每个人都参与进来，”Morley说，并补充说，小型和大型公用事业公司有不同的需求和资源。