今年年初,一名駭客入侵加州廢水處理廠,並移除了用來淨水的程式。在另一起成為全球頭條新聞的事件中,一名駭客取得對佛羅里達處理廠的遠端存取權,並增加處理流程中的鹼液量-一名處理廠員工幸運地注意到並迅速改正了這項變更。
現今已不可能再回到水利公用設施較少連線的時代。新冠肺炎(COVID-19)導致員工需要連線操作才能遠距進行工作。此外,即時監測和遠端連線等「智慧水利」的功能,對於協助水利公用事業快速回應人口變化與更惡劣的天候事件等挑戰日益重要。
水利公用事業最明智的作法,就是利用全方位的資安方法來解決當前的挑戰。
從計畫開始
網路安全計畫不僅對保護您的營運非常重要,而且美國國家環境保護局對此也有所要求。
美國水資源基礎設施法案(AWIA)要求,為3,300人以上的人口供水的所有社區水利系統,每五年必須執行兩次風險管理活動。
首先,您必須完成過去稱為弱點評估的風險與韌性評估。其次,您必須完成緊急回應計畫。
必須注意的是,雖然AWIA過去只要求在這些活動中解決實體安全問題,但現在要求活動也必須解決處理廠製程控制系統的網路風險。
了解您的資產,了解您的風險
除非您先評估您營運中的資產,否則無法評估您的營運風險。這是因為您只能保護您所知的現有資產。而不幸的是,大部分的人並不知道多年來位於其網路上的所有裝置。
現場裝置評估(IBE)可以針對連線至您網路的所有裝置提供完整的評估。如果您自行執行IBE,請確認您的IT及營運技術(OT)團隊從一開始便進行合作。這些團隊擁有不同的技術,有時候還會相互較勁,因此從IBE的開始便站在同一陣線非常重要。
許多處理廠選擇雇用IT和OT專家來執行其IBE。如果您選擇這種做法,請務必確認您同時雇用IT和OT專家。例如,Cisco和洛克威爾自動化提供「兩個領域的最佳選擇」方法,為IBE提供無可比擬的IT和OT專業知識。
IBE的結果可能會讓人大吃一驚。處理廠員工對於IBE的執行可能深具信心,並認為自己的操作安全無虞,因為他們已經投資在高品質的裝置上,結果卻發現IBE找出了多個漏洞。我們在執行IBE期間找到的部分風險包括未安裝的安全性修補程式、子承包商未經授權的遠端連線、仍然維持連線的已除役資產等。
制定計畫
IBE將會協助您制定您的網路安全計畫。然而,您的計畫也應解決某些關鍵目標。
首先,您的計畫應符合資安標準及法規,例如NIST資安架構、ISA/IEC 62443及ISA84/IEC TC65。您的計畫也應採用縱深防禦的資安方法。這涉及使用多個防護層來緩解威脅。
如果您對眼前的工作感到不知所措,或是不確定從何處著手,過程中有許多資源可以協助您實現更安全的供水或廢水處理。
美國水務協會(AWWA)的工具可以協助您滿足AWIA的需求。此外,洛克威爾自動化和Cisco的免費融合式全廠區乙太網路(CPwE)設計指南,可為可擴充、穩定、安全以及與未來接軌的工業網路架構的部署提供設計指南與最佳實務。
觀看隨選網路研討會,深入了解「網路資安在水利公用事業中的關鍵角色」。
