英國皇家國際事務研究所(Chatham House)周一發(fā)布的報告稱��,核工業(yè)仍未充分認識到網(wǎng)絡攻擊的風險���。
該報告聚焦民用核設施網(wǎng)絡安全����,基于對來自英國�、加拿大、美國����、烏克蘭、俄羅斯�����、日本�����、法國和德國的30位行業(yè)從業(yè)人員的訪談���。
2010年攻擊伊朗核設施的震網(wǎng)病毒清晰呈現(xiàn)了網(wǎng)絡攻擊的威脅���。然而,這份英國皇家國際事務研究所耗時18個月的研究報告顯示:盡管國際原子能機構(IAEA)近期采取了重要舉措����,核電業(yè)仍落后于其他產(chǎn)業(yè)。
雖然核設施在物理安全和防衛(wèi)上準備得很充分����,其越來越依賴于數(shù)字系統(tǒng)的事實卻意味著它們需要準備好應對一種新型威脅����,即來自網(wǎng)絡空間的攻擊��。
工業(yè)控制系統(tǒng)(ICS)軟件存在的大量漏洞令核設施成為惡意攻擊者易于下手的目標��。盡管很多人認為由于重要系統(tǒng)是物理隔離的(比如與公共互聯(lián)網(wǎng)相互隔絕)��,負責關鍵基礎設施的組織面對破壞性網(wǎng)絡攻擊的風險很低�,皇家國際事務研究所卻認為,在核設施這件事上��,這種想法不過是天真的神話��。
該研究發(fā)現(xiàn)��,很多核設施采用虛擬專用網(wǎng)(VPN)和其他類型的網(wǎng)絡接入���,且操作員很可能沒意識到它們的存在。
皇家國際事務研究所發(fā)現(xiàn)的主要問題之一與風險評估有關���,這些評估有可能不夠充分并導致網(wǎng)絡安全預算的裁減����。專家們認為,需要有準確評估和衡量風險的指導方針���,以便董事會和首席執(zhí)行官能夠認識到什么是利害攸關的�����。
導致風險被低估的因素之一����,是網(wǎng)絡安全事件披露的罕見性����。安全事件甚少曝光的事實可能致使核工業(yè)樂觀地認為自身并非網(wǎng)絡攻擊的目標。報告顯示���,核工業(yè)和其他產(chǎn)業(yè)的交流非常有限��,與網(wǎng)絡安全公司和廠商的交流也是如此���,而這也是需要關注的問題點。
涉及到核設施安全防護時����,還有一系列文化上的問題�����,包括運行技術(OT)工程師和信息技術(IT)工程師之間的溝通困難����,網(wǎng)絡安全規(guī)程和培訓的缺失��,以及被動式網(wǎng)絡安全方法���?�;始覈H事務研究所基于其進行的訪談確信:所有這些問題反映出核設施并未準備好偵測并處理網(wǎng)絡攻擊�����。
至于技術挑戰(zhàn)����,由于可能導致宕機的兼容性問題和供應鏈漏洞而需要面對打補丁的麻煩����,該報告將工業(yè)控制系統(tǒng)視為“設計上就不安全的”。
“核工業(yè)整體需要更堅強的決心在網(wǎng)絡空間采取行動����,促進和培育網(wǎng)絡安全文化,確定投資重點�,確保足夠的持續(xù)的資金被投放到有效應對挑戰(zhàn)上。建立國際網(wǎng)絡安全風險管理戰(zhàn)略和鼓勵信息在所有利益相關者間自由流通也是必需的�。”皇家國際事務研究所在其報告中寫道��,“這就要求核工業(yè)發(fā)展合適的機制和協(xié)調一致的行動計劃來解決已發(fā)現(xiàn)的技術短板���,以及找到監(jiān)管和個人責任之間的良好平衡���。”
---
簡體中文
ENGLISH