英國(guó)皇家國(guó)際事務(wù)研究所(Chatham House)周一發(fā)布的報(bào)告稱,核工業(yè)仍未充分認(rèn)識(shí)到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
該報(bào)告聚焦民用核設(shè)施網(wǎng)絡(luò)安全����,基于對(duì)來自英國(guó)���、加拿大����、美國(guó)、烏克蘭���、俄羅斯�����、日本�����、法國(guó)和德國(guó)的30位行業(yè)從業(yè)人員的訪談���。
2010年攻擊伊朗核設(shè)施的震網(wǎng)病毒清晰呈現(xiàn)了網(wǎng)絡(luò)攻擊的威脅�。然而����,這份英國(guó)皇家國(guó)際事務(wù)研究所耗時(shí)18個(gè)月的研究報(bào)告顯示:盡管國(guó)際原子能機(jī)構(gòu)(IAEA)近期采取了重要舉措,核電業(yè)仍落后于其他產(chǎn)業(yè)�����。
雖然核設(shè)施在物理安全和防衛(wèi)上準(zhǔn)備得很充分���,其越來越依賴于數(shù)字系統(tǒng)的事實(shí)卻意味著它們需要準(zhǔn)備好應(yīng)對(duì)一種新型威脅����,即來自網(wǎng)絡(luò)空間的攻擊�����。
工業(yè)控制系統(tǒng)(ICS)軟件存在的大量漏洞令核設(shè)施成為惡意攻擊者易于下手的目標(biāo)����。盡管很多人認(rèn)為由于重要系統(tǒng)是物理隔離的(比如與公共互聯(lián)網(wǎng)相互隔絕),負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織面對(duì)破壞性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)很低��,皇家國(guó)際事務(wù)研究所卻認(rèn)為,在核設(shè)施這件事上�,這種想法不過是天真的神話。
該研究發(fā)現(xiàn)����,很多核設(shè)施采用虛擬專用網(wǎng)(VPN)和其他類型的網(wǎng)絡(luò)接入,且操作員很可能沒意識(shí)到它們的存在��。
皇家國(guó)際事務(wù)研究所發(fā)現(xiàn)的主要問題之一與風(fēng)險(xiǎn)評(píng)估有關(guān)����,這些評(píng)估有可能不夠充分并導(dǎo)致網(wǎng)絡(luò)安全預(yù)算的裁減。專家們認(rèn)為�����,需要有準(zhǔn)確評(píng)估和衡量風(fēng)險(xiǎn)的指導(dǎo)方針�����,以便董事會(huì)和首席執(zhí)行官能夠認(rèn)識(shí)到什么是利害攸關(guān)的��。
導(dǎo)致風(fēng)險(xiǎn)被低估的因素之一�,是網(wǎng)絡(luò)安全事件披露的罕見性��。安全事件甚少曝光的事實(shí)可能致使核工業(yè)樂觀地認(rèn)為自身并非網(wǎng)絡(luò)攻擊的目標(biāo)。報(bào)告顯示��,核工業(yè)和其他產(chǎn)業(yè)的交流非常有限���,與網(wǎng)絡(luò)安全公司和廠商的交流也是如此�,而這也是需要關(guān)注的問題點(diǎn)�。
涉及到核設(shè)施安全防護(hù)時(shí),還有一系列文化上的問題���,包括運(yùn)行技術(shù)(OT)工程師和信息技術(shù)(IT)工程師之間的溝通困難�,網(wǎng)絡(luò)安全規(guī)程和培訓(xùn)的缺失���,以及被動(dòng)式網(wǎng)絡(luò)安全方法�?��;始覈?guó)際事務(wù)研究所基于其進(jìn)行的訪談確信:所有這些問題反映出核設(shè)施并未準(zhǔn)備好偵測(cè)并處理網(wǎng)絡(luò)攻擊�����。
至于技術(shù)挑戰(zhàn)����,由于可能導(dǎo)致宕機(jī)的兼容性問題和供應(yīng)鏈漏洞而需要面對(duì)打補(bǔ)丁的麻煩,該報(bào)告將工業(yè)控制系統(tǒng)視為“設(shè)計(jì)上就不安全的”����。
“核工業(yè)整體需要更堅(jiān)強(qiáng)的決心在網(wǎng)絡(luò)空間采取行動(dòng),促進(jìn)和培育網(wǎng)絡(luò)安全文化����,確定投資重點(diǎn),確保足夠的持續(xù)的資金被投放到有效應(yīng)對(duì)挑戰(zhàn)上���。建立國(guó)際網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略和鼓勵(lì)信息在所有利益相關(guān)者間自由流通也是必需的�����?!被始覈?guó)際事務(wù)研究所在其報(bào)告中寫道��,“這就要求核工業(yè)發(fā)展合適的機(jī)制和協(xié)調(diào)一致的行動(dòng)計(jì)劃來解決已發(fā)現(xiàn)的技術(shù)短板���,以及找到監(jiān)管和個(gè)人責(zé)任之間的良好平衡?��!?br />
---
簡(jiǎn)體中文
ENGLISH