安全社区没有辩论,国家需要保护其关键基础设施(CI)免受网络攻击。但并非每个人都同意所有基础设施的部门都同样至关重要。
根据最新的总统网络安全政策指令,美国有16个网络安全部门,从交通运输到能源、食品、水、金融服务等。
但前中央情报局官员、兰德公司(RAND Corporation)高级国际事务分析师马克•斯帕克曼(Mark Sparkman)最近在美国有线电视新闻网(CNN)的一篇文章中指出,以实体基础设施为重点的“网络末日”设想有些言过其实。他指出,美国大部分地区在自然灾害发生后已经断电断电数天或数周,生活已经恢复正常。
然而,他表示,在金融领域,情况并非如此。
“想要真正的混乱?摧毁对银行系统(甚至是银行系统的一部分)的信心,然后袖手旁观,”他写道,并补充说,操纵或摧毁储户资产的重大攻击将“建立一个新的战场&如果攻击持续下去,目标国家必须准备以一定的速度和力度还击,以阻止进一步的袭击。”
但这遭到了工业控制系统(ICS)专家乔·韦斯(Joe Weiss)的反驳,他表示,斯帕克曼的帖子只是意味着“即使是前CIA官员也不了解ICS的网络安全。”
Weiss是应用控制解决方案的管理合作伙伴,并不争辩说,对该国的金融系统的重大攻击将是微不足道的。但他坚持认为,对电网的类似攻击会不糟糕或更糟。毕竟,金融机构需要权力运营。作为“Marcblackmer,”Weiss'Blog Post的评论者放了,“如果我可能指出明显的--no电力,没有银行。”
韦斯说,电网遭到重大网络攻击后,生活在几天或几周内就会恢复正常,这并不是一定的。
“网络攻击可能会损坏或破坏变压器,锅炉,涡轮机等关键设备,”他说。
这些都是定制设备&许多大型部件甚至已经不在美国制造了。针对这些设备的有针对性的攻击可能会导致长达9到18个月甚至更长时间的停电。”
战略和国际研究中心(CSIS)中心的技术和公共政策计划署长和高级研究员詹姆斯·刘易斯(CSIS),2009年11月在CBS显示60分钟的同一点,当时他告诉通讯员史蒂夫·克罗夫特,“大generators that we depend on for electrical power are one, expensive, two, no longer made in the U.S., and three, require a lead time of three or four months to order them."
“所以,它不像我们打破一个,我们可以去硬件商店并获得替代品。如果有人真的想到了这一点,他们可能会把一个发电机撞出来,他们可以敲出一个月的电厂。那是真正的后果。“
Weiss补充说,电网设备仅支持各种关键的服务 - 水,石油和天然气系统,制造,电信,运输和是的,银行业务。
在接受采访时,Sparkman表示,他没有撰写Weiss的问题。
他说:“我只是认为,需要对金融体系遭受攻击的可能性给予更多关注。”
大多数安全界人士认为,斯帕克曼和韦斯的观点都是合理的。loghythm的首席技术官和联合创始人克里斯·彼得森(Chris Petersen)表示,两者都是正确的,因为金融系统和ICS都需要强有力的保护,以应对他所谓的“非常严重的威胁”。
他在许多方面说,金融体系比IC更安全,因为从那里创造了银行,他们的使命是保护资产。所以自开始以来,他们一直在努力保护自己。对于物理基础设施,优先权不是安全性,它的可用性。他们不在一个安全的心态中运行,因为它们从未以这种方式设计过。“
但他同意Weiss,因为银行系统可能是安全的,如果权力熄灭,那么这一点都不会重要。
他说:“这就像在沙子地基上建一座巨大的砖建筑。”“长期停电对银行系统将是灾难性的。”
Bayshore Networks的创始人兼首席执行官Francis Cianfrocca说,实际上“他们(银行/金融系统和电网)之间有很多连接点。”
他还表示,银行在维护电网安全方面有直接利益。
“谁拥有很多电力系统?”他说。“银行所做的。他们是发电的大型所有者,所以他们非常涉及他们的安全。”
但他就像Petersen,Sparkman和Weiss一样,同意“灾难性影响的潜力,包括生命和疾病的丧失是真实的,非常重要。”
2007年在爱达荷州国家实验室在被称为极光项目的内容中,如何展示了真实的人,其中一个网络攻击摧毁了柴油发电机。
“如果你能黑进那个控制系统,你就能指令机器自我解体。詹姆斯·刘易斯(James Lewis)在《60分钟》(60 Minutes)节目中说,这就是极光测试。
当时,CNN援引为联邦政府提供安全数据的经济学家斯科特·博格(Scott Borg)的话说,如果美国三分之一的地区停电三个月,经济成本将达到7000亿美元,或者“相当于40到50场大型飓风同时袭击”。
Weiss表示,它也不困难,注意到IC中的大部分硬件都有密码,这些密码是硬编码的,无法更改。“这不是说你的下门邻居可以做到这一点,”他说。但聪明的人可以。网上有“Metasploits”,您可以购买,以便在控制系统之后进行。“
那么,为什么没有什么在“网络9/11”的水平上发生过?
[在新世界贸易中心]
在一些国家,弗朗西斯·锡安切(Francis Cianfrocc)表示,指向俄罗斯和格鲁吉亚于2008年8月的短暂的战争,其中俄罗斯提前使用网络攻击和期间,这是更传统的动力学作业。“这是佐治亚州金融结构的大规模稳定化的关键方面,”Cianfrocca说。“它包括财务,电信和关键基础设施,非常成功。”
韦斯说,另一个复杂的问题是,很难判断对CI的损害是否是由网络造成的,更难以判断到底是谁造成的。
尽管如此,一些专家表示,仍有理由保持乐观。
“在过去的五年里有很多进步,”Chris Petersen说。“华盛顿有很多好人,他们都专注于它。”
蓝色外套的恶意软件研究团队负责人Chris Larsen,几个月前指出韩国的银行攻击,并没有造成世界末日。从那以后我还没有读过任何东西,那么韩国都说回到石器时代。“
Larsen说,有很多理由担心安全漏洞,但他怀疑攻击者是否能一次摧毁美国任何部门的整个基础设施长达数月之久。
“我认为这些系统中存在一些冗余,”他说。
然而,Cianfrocca说,目前该国的准备工作“还不足以应对威胁”。虽然他说在网络防御中有很多“非常好的工作正在做”,“一个攻击者只需要一次正确,防御者需要保护的范围非常广。”我想说,攻击者和防御者的能力之间存在两到三年的差距。”
这篇题为《关键基础设施保护:我们是否准备好应对针对美国系统的大规模网络攻击?》的文章最初发表于CSO .