据泄露给媒体的一份电网官员的机密备忘录显示,一年前,一名身份不明的计算机入侵者试图从中国的一个互联网地址发起 4800 次高速登录尝试,以渗透科罗拉多河下游管理局的发电网络。
总部位于马里兰州汉诺威的Accuvant LABS网络安全咨询公司副总裁大卫·邦维兰表示,这可能只是业余人士所为。
他说,随着智能电网技术在全国的输电网络和公用事业控制中心中普及,并最终到达企业和住宅电力用户,未来将面临更大的挑战。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保关于塑造当今世界的发现和想法的具有影响力的故事的未来。
他说:“存在已知漏洞,也存在尚未被发现的漏洞。”邦维兰和其他专家一致认为,黑客破坏一个严密管理的电网控制系统的风险远低于入侵金融或工业网络,但后果可能要严重得多。
前北美电力可靠性公司(联邦指定的电网监控机构)首席安全官迈克尔·阿桑特表示,威胁范围的扩大速度快于公用事业部门的应对速度。阿桑特去年离开了NERC,成立了一个新的非营利组织,即国家信息安全审查委员会,该委员会为公用事业网络防御者提供技术认证资格。该认证旨在识别精英网络安全专业人员。
阿桑特在一次采访中说:“智能电网增加了系统的复杂性。” “技术更多,更多网络高度互连以共享信息。您增加了整体攻击面。您正在部署不再位于您控制的建筑物中的技术,并且您正在通过无线方式将其部署到家中。”
阿桑特说:“而且,您正在以如此大的规模部署它,管理和维护安全是一项真正的挑战。” 他说:“我们应该部署这项技术”,因为它前景广阔。“但是,我们必须了解弱点在哪里。”
一些专家表示,智能电网的推出在提高人们对威胁的认识的同时,也增加了脆弱性。 Accuvant LABS主管乔恩·米勒说:“智能电网是公用事业领域有史以来发生的最好的事情之一。人们真的开始看到那里存在威胁。”
他说:“智能电网将使技术管理成为任何公用事业公司的核心部分。” 但他说,这种转变在一些能源公司中发生的速度比其他公司更快。
公用事业控制室需要安全“底线”
据美国政府问责局称,目前的门槛挑战是安全标准的制定进展缓慢,这些标准为保护发电机和输电控制室设定了底线。美国政府问责局在 3 月 11 日的一份报告中呼吁美国国家标准与技术研究院完成网络安全指南的更新,并得出结论认为,联邦能源监管委员会需要更强大的流程来监控行业对网络标准的合规性。
美国政府问责局的报告还引用了向美国计算机应急响应小组 (US-Cert) 报告的联邦机构遭受网络攻击的急剧增加。2010 财年,网络事件总数为 41776 起,五年内增加了 650%。
专家表示,标准制定过程受到了管辖权问题和需要就应对快速演变的威胁寻求耗时的公用事业行业共识的困扰。
为了回应美国政府问责局的批评,联邦能源监管委员会主席乔恩·韦林霍夫明确指出,当国会在 2005 年《能源政策法案》中制定电力行业网络安全标准的流程时,该机构处于被动姿态:联邦能源监管委员会可以批准或拒绝通过 NERC 的行业共识流程制定的网络标准,但它不能做更多的事情。
由于联邦能源监管委员会的监管权限仅限于州际高压输电网络,因此它对城市向客户输送电力的公用事业配电网的网络安全没有直接影响。州公用事业委员会负责监督电网的该部分。韦林霍夫在回复美国政府问责局的上个月的回复中说,联邦能源监管委员会、全国公共事业监管委员会协会、美国公共电力协会和全国农村电力合作协会正试图协调一种共同的方法。
官员表示,自 2005 年法案通过以来,经过多年不协调的努力,网络问题已开始在某些方面取得进展,尽管一些困难的监管政策谈判仍在前方。
管辖权争议依然存在
NERC 的董事会在 12 月批准了一份新的详细清单,电力和输电公司应遵循该清单来识别其系统中将受网络保护法规约束的关键部分。该清单回应了一些国会议员和联邦能源监管委员会工作人员的批评,他们认为一些公用事业公司将关键设施排除在“关键资产”清单之外,以限制未来网络立法的范围。这项新政策正在等待联邦能源监管委员会的行动。
NERC 的受托人还在 12 月批准了一项新的监管审批流程,该流程旨在防止联邦能源监管委员会寻求的新网络和可靠性标准因未能获得 NERC 电力公司成员的绝大多数批准而被搁置。联邦监管机构在 2010 年 3 月指示 NERC 提出解决僵局问题的方案,一年后,解决方案即将出现,预计很快将获得联邦能源监管委员会的最终批准,官员们说。
另一个涉及核电站的管辖权问题已经克服。官员说,核管理委员会已同意承担核电站所有系统(不仅仅是反应堆)的网络安全监督责任。核管理委员会和联邦能源监管委员会之间的一份谅解备忘录解决了这个问题。
但是,一项新的参议院倡议可能会重新引发联邦政府和各州之间关于网络标准的管辖权争端。
韦林霍夫在 3 月 10 日致美国政府问责局的信中说,《联邦电力法案》适用于高压州际电力传输,“几乎排除了纽约等某些大城市的所有电网设施,因此妨碍了委员会采取行动来减轻涉及此类设施和主要人口地区的网络安全或其他国家安全可靠性威胁。同样重要的是要注意,许多智能电网设备将安装在配电设施上,并且不属于委员会的《联邦电力法案》管辖范围。”
上周,参议院能源与自然资源委员会主席杰夫·宾加曼(民主党,新墨西哥州)和共和党资深议员丽莎·默科夫斯基(共和党,阿拉斯加州)散发了一份关于网络保护政策的法案草案,该草案将赋予联邦能源监管委员会对其一直在寻求的关键配电网络的管辖权。拟议的措辞称,该法案将涵盖联邦当局认为对美国安全或国家公共卫生和安全至关重要的“影响州际贸易的发电、输电或配电”。
最不安全和最安全之间的巨大差距
该委员会表示,将于 5 月举行关于该立法的听证会。参议院助手表示,多数党领袖哈里·里德(民主党,内华达州)已开始与几个对网络安全问题感兴趣的参议院委员会的领导人举行会议,寻求今年采取协调一致的行动。
但阿桑特坚持认为,即使成功完成电力部门网络保护的标准和规则,如果该行业的网络管理人员的技术能力没有得到提升,也仍然不够。
阿桑特引用的案例研究是“震网”计算机蠕虫,行业专家认为该蠕虫在 2009 年年中渗透到伊朗核电基础设施的一部分,破坏了其一些关键的铀浓缩离心机。
阿桑特说,俄罗斯一家安全公司在 USB 闪存驱动器上发现了“震网”网络武器的代码,该武器的作者仍未公开身份,并且是激烈猜测的对象。该 USB 存储棒是由另一家公司的安全专家交给俄罗斯公司的,该专家将存储棒插入计算机并注意到一闪而过的异常响应。
他说,该专家没有对这种异常现象不屑一顾。 “他的反应不是‘好吧,这很奇怪,然后继续前进’,这是典型的毫无意识的反应。…很容易说‘好吧,这没用。让我们重新启动计算机。’”
阿桑特说,电网的可靠性是基于计划,以便在电厂突然停机、电力线被切断或变压器发生故障时保持电力流动。网络挑战是不同的。“规划工程师习惯于说‘如果这种情况消失了,系统还能安全运行吗?’”
“我想对他们说的是,如果它没有消失,但您系统的这一部分被滥用”来威胁系统会发生什么?
阿桑特说,在那些认真考虑提高网络威胁壁垒并培训人员使用它们的电力公司,以及那些意识和准备工作不足的其他公司之间,仍然存在太大的差距。
“一些公用事业公司无疑更具有前瞻性。他们有更多技术熟练的员工,并且他们能够做更多的事情来保护他们的系统。其他公司则因获得技术技能的挑战而受挫。” 他说,田纳西河谷管理局是一个制定高标准的电力供应商的例子。 “意识是不同的。这不是一项简单的任务,”他说。“还有工作要做。”
经环境与能源出版有限责任公司许可,转载自气候新闻专线。www.eenews.net, 202-628-6500