5月 7 日,一條輸送美國東海岸幾乎一半燃料的管道系統遭到一次重大網絡攻擊而癱瘓。因此弗吉尼亞州、北卡羅來納州和佛羅里達州宣布進入緊急狀態,Colonial油管關閉五天導致燃料短缺和恐慌性購買。
這次攻擊凸顯了在網絡安全威脅日益加劇的時代,燃料管道等關鍵基礎設施是多么脆弱。在澳大利亞,有觀點認為現在是強制關鍵基礎設施公司實施嚴格的網絡安全措施的時候了。
附帶損害
關鍵基礎設施遭受網絡攻擊的風險并不新鮮。2001 年9 月 11 日事件發生后,研究表明,在我們分析脆弱性和關鍵基礎設施保護問題時,需要解決全球安全風險。我們還提出了確保關鍵供應鏈基礎設施安全的系統,例如海港和包括集裝箱運輸管理在內的實踐。
“勒索軟件”攻擊(攻擊者從組織系統中獲取重要數據并要求贖金以換取其回報)的興起增加了風險。這些攻擊可能會產生意想不到的后果。
有證據表明Colonial油管關閉是此類攻擊的結果,針對了其數據。該公司似乎關閉了油管網絡和其他一些操作,以防止惡意軟件傳播。這導致了一系列意想不到的社會影響和附帶損害。
事實上,攻擊者可能對他們造成的破壞程度感到驚訝,現在似乎已經不敢再肆意妄為。
我們現已經看到關鍵的供應鏈基礎設施如何作為附帶損害而受到嚴重破壞,而我們必須考慮直接攻擊的后果可能有多嚴重。
關鍵基礎設施是一個有吸引力的目標
網絡風險框架通常源自傳統的風險管理方法,將潛在的網絡攻擊問題作為常規風險進行處理。這些風險管理方法權衡了防止網絡攻擊的成本與違規的成本和可能性。
在某些行業中,此評估將考慮可能永遠不會回來的客戶群流失的成本。然而,運輸、醫療、電力、水和食品等關鍵服務的供應商幾乎沒有失去客戶的風險。
Colonial事件發生后,客戶盡快回到加油站繼續購買燃料。因此,與其他行業的公司相比,關鍵行業可能會從違規中感受到更少的成本損失,因為他們的客戶會回來。
合規時間
澳大利亞在網絡安全方面的國家努力由澳大利亞網絡安全中心 (ACSC) 在澳大利亞通信局的支持下進行協調。ACSC 與公共和私營部門組織合作,共享有關威脅的信息和最佳安全實踐指南。
ACSC文件(如基本八項)為組織提供基線安全措施的指導。這些補充了更全面的資源,包括澳大利亞政府信息安全手冊。
然而,澳大利亞的研究表明,即使澳大利亞政府自己的網站也沒有普遍遵循最佳做法。
缺乏知識不是問題。ACSC 通常很好地理解和記錄安全最佳實踐。ACSC 還為關鍵部門和行業提供具體指導,例如為能源部門開發的安全框架。
這里的挑戰是這些只是指導方針。公司可以選擇是否遵循它們。
澳大利亞需要的是網絡安全合規計劃。這意味著管理港口或油管等關鍵基礎設施的公司必須遵守某種規則。
第一步可能是要求這些公司遵守現有準則,并要求對網絡安全基線進行認證。
美國的教訓
美國政府以行政命令回應了Colonial的網絡攻擊,以改善網絡安全和聯邦政府網絡。該命令提出了一系列措施來使標準現代化并改善信息共享和報告要求。這些都是有價值的措施,其中許多已經在澳大利亞 ACSC 的現有職責范圍內。
美國命令中的另一項措施是建立獨立的網絡安全審查委員會。澳大利亞同樣可以在政府和行業之間建立伙伴關系,以監督網絡安全。一個類似的機構已經對航空進行了監管:民航安全局。
這樣的組織將對網絡事件提供可靠的分析和報告。它還將與信息技術經理、軟件和硬件開發商、公共管理人員、危機管理人員等共享信息。
網絡安全威脅給公共和私營部門帶來了高度的不確定性。破壞關鍵供應鏈基礎設施的攻擊對社會和貿易產生廣泛影響。
網絡安全合規計劃可能在財務上成本高昂,但考慮到成功的網絡攻擊的社會影響,這將是一項值得的投資。
