今年3月，美国环保署发布备忘录警告称，针对公共供水系统的网络攻击正在增加。环保署表示，这些攻击有可能瘫痪或污染美国民众的饮用水。尽管一些公共供水系统已采取重要步骤改善网络安全，但根据环保署的说法，许多系统“未能遵循基本的网络安全最佳实践，因而面临较高网络攻击风险，攻击者包括得到国家支持的行为者。”

根据联邦《安全饮用水法》，各州有责任对当地供水系统进行调查。具体来说，各州必须至少每三到五年对“公共供水系统的设施、设备、运营等进行现场审查，以评估系统完备性、水源和运营情况，以及安全饮用水配送情况”。如果一个州在调查中发现“重大缺陷”，就必须要求供水系统解决问题。

水务行业联合废除

环保署网络安全要求

环保署在3月备忘录中指出，许多公共供水系统依赖于电子系统实现高效运转，特别是工业控制系统等运营技术。因此，环保署正在重新解释现有规定，要求各州对公共供水系统的“设备”和“运营”进行审查时，需对任何影响客户水资源供应或安全性的运营技术进行网络安全审查。

根据现有规定，如果州政府发现严重的网络安全缺陷，将要求供水系统解决这些问题。备忘录列出了各种州可遵循的方法，包括供水系统自行评估、第三方评估、州政府直接评估以及其他选项。在一份配套文件中，环保署提供了一个供州政府使用的网络安全检查清单。

通知一经发出，几个共和党州的检察长，连同美国供水协会和全国农村供水协会，提出了审查请求。他们认为该备忘录违反了《行政程序法》，超出了环保署的法定权力。原告辩称，目前对安全饮用水供应起到至关重要作用的运营技术，并不属于现有规定中“设备”、“运营”或“安全饮用水配送”的范畴。行业协会认为，收集网络安全信息将使供水系统更容易受到网络攻击威胁。

2023年7月，第八巡回法院在未发表具体意见的情况下，同意原告方的动议，暂缓执行备忘录，直至复审申请处理完毕。2023年10月，环保署因诉讼行动而撤销了3月份的备忘录。

供水系统遭伊朗大规模网络攻击

现在，美国联邦调查局、网络安全和基础设施安全局、国家安全局、环保署以及以色列国家网络局发布联合警告，自2023年11月22日以来，伊朗伊斯兰革命卫队的网络行动者一直在积极攻击并破坏美国供水和废水系统使用的运营技术。受损设备（比如以色列犹尼康公司制造可编程逻辑控制器）被公开暴露在互联网上，使用的是默认密码。

这些机构建议供水系统可以“立即采取三项措施减轻恶意活动的影响”。但他们只能建议，因为环保署的备忘录已被撤销。

这些措施包括实施多因素身份验证，使用强大、独特的密码，以及检查安装设备是否使用默认密码。这与环保署3月份备忘录不谋而合。备忘录配套的网络安全检查清单推荐的前四项措施中，有三项与上述建议完全相同：“启用多因素身份验证”、“要求密码达到最小长度”、“更改默认密码”。

因此，伊斯兰革命卫队正在利用的缺陷，正是几个月前各州和供水系统团体争辩称，评估供水系统设备和运营时无需考虑的弱点。

反监管致使

全面网络安全立法遥遥无期

拜登政府针对管道、铁路和航空部门的网络安全规定都强调了安全和可靠性，但没有明确提到网络安全。到目前为止，这些规定都依然有效。然而，美国法院对联邦监管持敌对态度。最高法院在2021年的裁决就是典型案例。裁决规定，除非国会明确授予权力，否则联邦机构不能处理重大问题。裁决可能已经减缓了拜登政府为其他部门制定网络安全规定的努力。正是受此影响，政府决定放弃环保署备忘录。

值得肯定的是，政府继续寻找加强关键基础设施网络安全的途径。就在12月6日，美国卫生和人类服务部发布了网络安全计划，表示将利用现有权力，为接受医疗保险和医疗补助支付的医院制定网络安全要求。

然而，要迅速而明确地推进网络安全，需要国会采取行动。由于国会山被反监管情绪笼罩（其他不利因素就更不用提了），全面的网络安全立法是不可想象的。但就在去年12月，国会确实有所行动，授予美国食品药品监督管理局颁布联网医疗设备网络安全标准的特殊权力。

行业自律试图推动网络安全改进

讽刺的是，曾反对环保署备忘录的美国供水协会现在呼吁制定联邦立法，为饮用水和废水系统建立监管体制。他们建议成立一家行业主导的私人组织，制定网络安全要求，经环保署批准后加以执行，受到环保署监督。

这个概念模仿了早在2005年就根据《能源政策法案》建立的大型电力行业监管系统。网络空间日光浴委员会工作人员将这个概念翻译成立法语言，但迄今尚未提出这样的立法。贸易协会及其盟友，既然已经证明他们有能力阻止环保署的行动，那么他们是否有意愿和能力让国会通过任何法案？

环保署加强水务系统网络安全的努力遭到各种手段的限制。想要打破这些限制，需要针对相关机构、行业逐个击破，找到其他渠道让国会可以逐步采取行动。与此同时，政府只能恳求美国的饮用水供应商更改默认密码。

参考资料：lawfaremedia.com

来源：安全内参