英國皇家國際事務(wù)研究所(Chatham House)周一發(fā)布的報告稱���,核工業(yè)仍未充分認(rèn)識到網(wǎng)絡(luò)攻擊的風(fēng)險��。
該報告聚焦民用核設(shè)施網(wǎng)絡(luò)安全�����,基于對來自英國�、加拿大����、美國�、烏克蘭���、俄羅斯��、日本�����、法國和德國的30位行業(yè)從業(yè)人員的訪談�。
2010年攻擊伊朗核設(shè)施的震網(wǎng)病毒清晰呈現(xiàn)了網(wǎng)絡(luò)攻擊的威脅��。然而���,這份英國皇家國際事務(wù)研究所耗時18個月的研究報告顯示:盡管國際原子能機構(gòu)(IAEA)近期采取了重要舉措���,核電業(yè)仍落后于其他產(chǎn)業(yè)。
雖然核設(shè)施在物理安全和防衛(wèi)上準(zhǔn)備得很充分����,其越來越依賴于數(shù)字系統(tǒng)的事實卻意味著它們需要準(zhǔn)備好應(yīng)對一種新型威脅,即來自網(wǎng)絡(luò)空間的攻擊��。
工業(yè)控制系統(tǒng)(ICS)軟件存在的大量漏洞令核設(shè)施成為惡意攻擊者易于下手的目標(biāo)���。盡管很多人認(rèn)為由于重要系統(tǒng)是物理隔離的(比如與公共互聯(lián)網(wǎng)相互隔絕)�����,負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織面對破壞性網(wǎng)絡(luò)攻擊的風(fēng)險很低�,皇家國際事務(wù)研究所卻認(rèn)為,在核設(shè)施這件事上����,這種想法不過是天真的神話。
該研究發(fā)現(xiàn)���,很多核設(shè)施采用虛擬專用網(wǎng)(VPN)和其他類型的網(wǎng)絡(luò)接入��,且操作員很可能沒意識到它們的存在。
皇家國際事務(wù)研究所發(fā)現(xiàn)的主要問題之一與風(fēng)險評估有關(guān)�,這些評估有可能不夠充分并導(dǎo)致網(wǎng)絡(luò)安全預(yù)算的裁減。專家們認(rèn)為�,需要有準(zhǔn)確評估和衡量風(fēng)險的指導(dǎo)方針,以便董事會和首席執(zhí)行官能夠認(rèn)識到什么是利害攸關(guān)的�。
導(dǎo)致風(fēng)險被低估的因素之一,是網(wǎng)絡(luò)安全事件披露的罕見性����。安全事件甚少曝光的事實可能致使核工業(yè)樂觀地認(rèn)為自身并非網(wǎng)絡(luò)攻擊的目標(biāo)�����。報告顯示���,核工業(yè)和其他產(chǎn)業(yè)的交流非常有限,與網(wǎng)絡(luò)安全公司和廠商的交流也是如此����,而這也是需要關(guān)注的問題點。
涉及到核設(shè)施安全防護時�,還有一系列文化上的問題,包括運行技術(shù)(OT)工程師和信息技術(shù)(IT)工程師之間的溝通困難��,網(wǎng)絡(luò)安全規(guī)程和培訓(xùn)的缺失�,以及被動式網(wǎng)絡(luò)安全方法?�;始覈H事務(wù)研究所基于其進行的訪談確信:所有這些問題反映出核設(shè)施并未準(zhǔn)備好偵測并處理網(wǎng)絡(luò)攻擊���。
至于技術(shù)挑戰(zhàn)�����,由于可能導(dǎo)致宕機的兼容性問題和供應(yīng)鏈漏洞而需要面對打補丁的麻煩�,該報告將工業(yè)控制系統(tǒng)視為“設(shè)計上就不安全的”。
“核工業(yè)整體需要更堅強的決心在網(wǎng)絡(luò)空間采取行動�����,促進和培育網(wǎng)絡(luò)安全文化����,確定投資重點,確保足夠的持續(xù)的資金被投放到有效應(yīng)對挑戰(zhàn)上���。建立國際網(wǎng)絡(luò)安全風(fēng)險管理戰(zhàn)略和鼓勵信息在所有利益相關(guān)者間自由流通也是必需的�?����!被始覈H事務(wù)研究所在其報告中寫道���,“這就要求核工業(yè)發(fā)展合適的機制和協(xié)調(diào)一致的行動計劃來解決已發(fā)現(xiàn)的技術(shù)短板,以及找到監(jiān)管和個人責(zé)任之間的良好平衡�。”
---
簡體中文
ENGLISH