美國水務信息共享與分析中心最新調查報告顯示，530多家水務企業(yè)在IT/OT資產管理方面普遍存在不同程度的問題；

　　美國網(wǎng)絡與基礎設施安全局數(shù)據(jù)顯示，水廠上報的超80%漏洞為2017年前就披露過的老漏洞；

　　全美5萬多家水務設施大部分是非盈利機構，特別是農村地區(qū)的工廠，可能只有少數(shù)幾位不了解網(wǎng)絡安全的普通員工。

　　超過六成的水務公司表示，尚未完成對IT網(wǎng)絡資產組成的全面評估，只有約21%的水務公司正在努力進行資產梳理。

　　此外，約70%的受訪者表示，運營技術（OT）網(wǎng)絡資產的評估同樣沒有全面完成，只有不足四分之一受訪者正在積極推動這項工作。

　　從美國水務信息共享與分析中心（Water-ISAC）近日公布的最新調查報告可以看到，530多家水務企業(yè)在IT/OT資產管理方面普遍存在不同程度的問題。

　　就在調查結果發(fā)布的同天，NBC新聞首次披露報道，今年1月有黑客輕松入侵舊金山灣區(qū)一家水處理廠。攻擊者使用某位前任雇員的憑證安裝一款常見的遠程辦公軟件之后，順利掌握了網(wǎng)絡訪問權。

　　在這起事件數(shù)周前，佛羅里達州一家水處理廠因為操作系統(tǒng)陳舊及遠程辦公軟件存在漏洞被惡意篡改化學成分，登上了美國各大媒體的頭條新聞。

　　在水務信息共享與分析中心組織的這次調查中，只有4家組織確認其IT/OT系統(tǒng)曾在過去一年內遭到入侵，另有數(shù)十家組織表示他們“不確定”是否發(fā)生過安全事故。

　　美國農村水務協(xié)會分析師Mike Keegan說，“鑒于不同水務公司的規(guī)模、能力和技術能力各不相同，很難對正在發(fā)生的攻擊有很好的評估?！?/p>

　　在美國所有關鍵基礎設施中，水設施可能是最容易被攻擊的。與只有少數(shù)盈利公司經(jīng)營的電網(wǎng)不同，全美5萬多家水務設施大部分是非盈利機構，特別是農村地區(qū)的工廠，可能只有少數(shù)幾位不了解網(wǎng)絡安全的普通員工。

　　在科洛尼爾燃油管道公司遭受攻擊之后，美國眾議院和參議院的議員們曾多次質疑相關官員，認為網(wǎng)絡安全與基礎設施安全局（CISA）應該在天然氣與石油行業(yè)的網(wǎng)絡安全問題上發(fā)揮更重要的監(jiān)管作用。

　　截至目前，網(wǎng)絡與基礎設施安全局只能在私營企業(yè)申請時提供協(xié)助。雖然國會立法授予該機構發(fā)布傳票獲取資產所有者聯(lián)絡信息的權力，但除了向聯(lián)邦機構范圍內的政府網(wǎng)絡設施發(fā)布緊急指令外，該局仍然缺乏必要的監(jiān)管權力。

　　根據(jù)網(wǎng)絡與基礎設施安全局整理并發(fā)布的水務行業(yè)相關數(shù)據(jù)，約10%的水務公司曾經(jīng)上報嚴重漏洞、40%上報過高危漏洞。而由水廠上報的大部分安全漏洞（超過80%）為2017年之前就已經(jīng)披露過的CVE漏洞。

　　近日，水務信息共享與分析中心向成員機構發(fā)布了一份6個老漏洞清單，并強調“目前有多起上報提到，攻擊者正利用這些漏洞入侵未經(jīng)安全修復的水務及廢水處理系統(tǒng)?！?/p>