普通人对工业网络安全毫无概念。与信用卡数据被盗、身份盗窃和私藏不雅照曝光不同,消费者几乎意识不到电网、供水、供气、食品供应等公共事业所遭受的安全威胁。
回顾1990年代中期的互联网热潮,当时公众也没有意识到计算机安全事件会对他们的生活造成怎样的影响。计算机病毒(现在叫恶意软件)、网站被黑或数据泄露几乎得不到关注。但只要攻击者开始盗窃信用卡信息和网络身份,情况大变样。
每个人都清楚地意识到:虚拟世界中发生的安全事件能对现实世界造成严重影响。如今,勒索软件、网络钓鱼和其他形式的网络犯罪常常登上媒体头条。普通消费者也十分清楚与计算机安全事件相关的危险——因为这关系到他们的安全、名誉和银行账户。
至于工业技术安全,也就是控制电力生产、饮用水净化、食品饮料和药品制造等等物理过程的大量小型计算机的安全,消费者当前的认知跟20年前对计算机安全的认知水平不相上下,就好像昨日重现。
此前,工业设施和设备一直是处在隔离环境中的,不接入互联网,甚至不与其他系统相连,使得安全事件的威胁似乎根本不存在。而且,用于执行工业过程的计算机通常运营多年都不更新或修改。某些情况下,这些设备能运行20到30年都不用给予普通计算机所需的常规维护和反馈。
然而,工业互联网(IIoT)的发展消除了这一缓冲区或所谓的 “物理隔离”。IIoT将曾经隔离的工业设备连上业务网络,科幻小说中才会出现的新安全风险就此引入。但这次,不是科学幻想,而是现实。
与计算机安全事件造成的破坏相比,工业安全事件的后果要严重得多。我们可以试想一下导致食品、饮料、药品、化工、供水、公共事业和核设施工业过程紊乱的安全事件,可对物理、环境和生命安全造成多大影响。最近发生的三起事件很能说明问题。
去年9月,波士顿郊区两处地方接连发生天然气爆炸。事后调查发现,是一次系统升级导致用于监测压力水平的仪器掉线了,最终导致过压问题未被检测到。该事件造成70多起火情,1人死亡,数十人受伤,摧毁了100多幢建筑,约9,000名客户无气可用。
这起事件中,天然气过压问题主要是由该公司员工的人为失误造成的,但也可以由外部黑客轻易引发。早些时候,有些居民甚至疑惧这些爆炸是恐怖袭击。
今年1月10日,《华尔街日报》一篇调查文章重现了美国电网遭俄罗斯黑客攻击事件,称黑客侵入数百家与电网合作的承包商和分包商,打开了能源提供商网络的后门。
同时,今年1月,有报道称,两名黑客使用不足500美元的遥控装置,利用工业控制系统(ICS)漏洞,就能控制15架起重机和其他重型建筑设备。
此类事件将最终引爆消费者对工业安全威胁的认知,促使他们要求用更完备的安全措施来保护电力、供水、制造等等行业中的数字化过程,防止这些过程被入侵而招致物理或环境破坏,乃至人员伤亡。
幸运的是,创业者和创新公司正努力运用新技术填补工业网络安全空白,就像我们如今保护计算机系统那样防护工业过程安全。兹事体大,业界、政府和消费者必须同心协力,防止工业安全事件以当今计算机安全事件出现的速率发生。