編者按：近日，美國政府問責辦公室(GAO)應國會請求，發布了《需采取行動加強國土安全部對高風險化工設施網絡安全的監督》審計報告。國土安全部通過“化學設施反恐標準”計劃來監督高風險化學設施的安全，然而十多年來該化工設施網絡安全指南從未更新，生產、使用或存儲危險化學品的設施很容易遭受嚴重的網絡攻擊。GAO總結了化工設施信息和過程控制系統存在的多種風險，即網絡資產保護不當、蓄意或敵對威脅、網絡威脅攻擊者，并對如何改進“化學設施反恐標準”提出了六條建議?？植婪肿涌赡軙⑸a、使用、存儲危險化學品的設施作為攻擊目標或使用，以造成大規模的傷亡、破壞和恐懼。這些化學物質可能會從設施中釋放出來，從而對周圍的人群造成傷害，也可能被盜并用作化學武器或用作其原材料(制造化學武器的成分)。此外，隨著對信息系統的依賴不斷增加，基于網絡的威脅行為體(例如恐怖分子、罪犯、國家)可能惡意操縱組織的物理安全、信息和過程控制系統，以竊取化學物質或通過釋放造成傷害或爆炸。例如，美國能源部愛達荷州國家實驗室在2018年報告稱，惡意行為者將一家中東公司的工業安全系統作為目標，旨在破壞工業控制系統，以便攻擊者訪問安全系統并修改指令，可能有人身危險或對人造成傷害。

      一、 重啟化工設施網絡安全議題的背景

　　4月14日，美國政府問責辦公室(GAO)在發布的《需采取行動加強國土安全部對高風險化工設施網絡安全的監督》審計報告中表示，由于政府網絡安全指南已經過時，生產、使用或存儲危險化學品的設施很容易遭受嚴重的網絡攻擊。國土安全部(DHS)通過“化學設施反恐標準”計劃來監督高風險化學設施的安全，但是十多年來從未更新該設施的網絡安全指南。

　　化學設施反恐標準(CHEMICAL FACILITY ANTI-TERRORISM STANDARDS，CFATS)是美國的第一個監管項目，專門針對高風險化學設施的安全性。網絡安全和基礎設施安全局(CISA)通過與化工行業合作來管理CFATS計劃，以確保設施具備安全措施，減少與某些危險化學品有關的風險，并防止恐怖分子將其武器化。CFATS計劃對美國大約3,300家工廠的運營進行監管，其中許多工廠使用互聯網連接設備等較新的技術作為其運營的關鍵部分，并將其與過程控制系統和物理安全性進行集成，這為惡意行為者提供了遠程訪問這些網絡的機會，使這些設施更容易受到網絡威脅的攻擊。

　　該報告結果顯示，化工行業的公司越來越尋求通過連接其物理安全、信息和過程控制系統來提高效率。但是，這些系統之間的融合對于包括化學制造設施在內的關鍵基礎設施的所有者和運營商而言是一項重大挑戰，因為它為潛在的網絡對手提供了訪問這些系統的新機會。

　　GAO表示，“對化學設施的信息和過程控制系統的成功網絡攻擊可能會中斷或關閉運營，并導致嚴重后果，例如公共衛生和安全風險，包括重大生命損失?！?/span>

　　GAO表示，國土安全部應考慮修訂其對化學設施的網絡安全指南，并同時制定計劃以跟蹤和評估檢查員的網絡安全培訓。

　　GAO發現，DHS沒有收集或跟蹤評估項目中評估設施的檢查人員的網絡安全知識的數據，從而危害整體安全。GAO表示，“正在評估設施網絡安全態勢的檢查人員可能不具備知識、技能和能力來完全支持該計劃的網絡安全相關任務?！?/span>

　　國土安全部官員吉姆·克魯姆帕克(Jim Crumpacker)在回應GAO時表示，“網絡安全是國土安全部國家化學安全方法不可或缺的一部分。該部門仍致力于確保高風險的化學設施正在實施適當的物理和網絡安全措施?！?/span>

　　GAO強調了成功對化學設施進行網絡攻擊所涉及的風險。該類型的高風險化學設施被認為是該國關鍵基礎設施的一部分，該基礎設施正日益遭受攻擊的風險。國土安全部曾在2月份向運行關鍵系統的公司發出了警報，警告說它們是黑客的目標。該警報是在某“天然氣壓縮設施”遭受成功的網絡攻擊后發出的，該攻擊迫使該組織暫時關閉了業務。

　　二、 美國化工行業面臨的主要網絡威脅

　　信息技術是日?；ぴO施運營的重要組成部分，包括業務系統和過程控制系統。雖然化工行業的公司越來越多地尋求通過連接物理安全、信息和過程控制系統來提高效率，但系統之間的融合是一個重大挑戰，因為它為潛在的網絡攻擊者訪問這些系統創造了機會。此外，過程控制系統正在發生變化，這種變化為系統操作員提供了優勢，但也使他們更容易受到網絡攻擊。特別是，這些系統中的專有設備正在被使用傳統網絡協議(包括支持遠程訪問的協議)的更便宜和更廣泛可用的設備所取代。設備中的遠程訪問功能可以使它們更易于維護。此外，正在使用傳統的計算機和操作系統設計和實施過程控制系統，使它們能夠更容易地與支持化學品銷售、轉讓或分銷的公司業務系統相連接。例如，在2015年針對烏克蘭電力系統的攻擊中，惡意的國家行為體利用釣魚電子郵件在商業IT網絡上部署惡意軟件。據報道，在獲得對商業IT網絡的初始訪問權后，攻擊者使用了多種技術來訪問公用事業公司的工業控制系統網絡。

　　化工設施信息和過程控制系統存在多種風險，包括網絡資產保護不當、蓄意或敵對威脅、網絡威脅攻擊者。

　　● 網絡資產保護不當會增加發生安全事件和網絡攻擊的可能性，這些事件和攻擊會破壞關鍵業務，導致對敏感信息的不當訪問、披露、修改、銷毀，并威脅國家安全、經濟福祉和公共健康與安全。故意或非故意的威脅來源可能包括設備或軟件因老化而發生的故障、資源消耗、以及終端用戶所犯的錯誤，還包括自然災害和本組織所依賴但不受本組織控制的關鍵基礎設施的故障。

　　● 蓄意或敵對威脅可能包括腐敗的雇員、犯罪集團、恐怖分子和試圖利用本組織對網絡資源的依賴的國家(即電子形式的信息、信息和通信技術，以及這些技術提供的通信和信息處理能力)。這些威脅攻擊者的能力、行動意愿和動機各不相同，其中可能包括尋求金錢利益或尋求經濟、政治或軍事優勢。

　　● 網絡威脅攻擊者可以利用各種技術、戰術、做法或漏洞對組織的計算機、軟件或網絡造成不利影響，或截獲或竊取有價值或敏感的信息。這些利用是通過各種渠道進行的，包括網站、電子郵件、無線和蜂窩通信、互聯網協議、便攜式媒體和社交媒體。此外，對手可以利用常見的計算機軟件程序(如Adobe Acrobat和Microsoft Office)，通過在軟件文件中嵌入漏洞來傳遞威脅，當用戶在其相應程序中打開文件時，可以激活這些軟件文件。此外，網絡威脅攻擊者可能通過互聯網或其他通信途徑滲透到信息和過程控制系統，從而潛在地破壞其服務，并導致泄漏、釋放、爆炸或火災。此外，過程控制系統曾經基本上與因特網和本組織的信息技術系統隔離開來，現在越來越多地與現代化學設施連接在一起，使網絡攻擊從業務系統發起，并轉移到操作系統。

　　化工設施的潛在網絡威脅

　　有關成功執行的網絡攻擊和已知的網絡相關威脅的報告說明了這些攻擊對信息和過程控制系統的影響。2018年，惡意國家行為體利用網絡釣魚和其他類似的方式來攻擊組織，以獲取對其網絡和業務系統的訪問權，進行偵察、收集和操縱有關工業的信息控制系統。獲得對連接到過程控制系統的信息系統的訪問權限的惡意行為體可能獲得對過程控制系統的訪問權限。通過此訪問，行為體可以通過更改傳感器設置或操縱與過程控制系統通信的消息，并導致控制器進行不適當的更改，從而導致服務丟失或物理破壞。

　　三、主要舉措

　　1、推動安全指南的更新

　　作為審計工作的一部分，GAO發現，由于《化學設施反恐標準》計劃的網絡安全部分已經過時，因此，在很大程度上與大型化工公司和設施無關，這些公司和設施現在都在遵循自己的安全準則。

　　GAO的研究人員采訪了化學工業協會的官員。其中一些官員告訴審計人員，由于DHS指南已有近十年的歷史，因此大型化工企業和設施可能不再覺得它們有用，他們自己的安全計劃已經成熟，可以應對更多現代威脅。

　　此外，GAO發現，盡管“化學工廠反恐標準”計劃為檢查員提供了網絡安全培訓，但沒有評估這些培訓計劃有效性的程序。報告指出，國土安全部或其CISA部門均未收集有關培訓的任何數據。因此，國土安全部官員無法提供有關檢查員接受了培訓的信息。

　　國土安全部和CISA官員告訴GAO，他們一直在努力使培訓保持最新狀態，但是技術變革的步伐使這一工作變得困難。報告指出，他們在2019年與外部承包商合作，開發了更新的培訓模塊。

　　2、推動立法

　　GAO報告發布之際，眾議院國土安全委員會正在推動更新《化學工廠反恐標準》計劃，該計劃將于7月到期，因此安全漏洞變得更加復雜。眾議院國土安全委員會去年批準了一項更新法案，以延長該計劃的執行時間，但該法案尚未安排眾議院付諸表決。

　　委員會主席本尼·湯普森(D-Miss)在5月15日發布的一份聲明中表示，國會需要“迅速采取行動”來更新該計劃?！癎AO明確指出，化學設施的網絡安全漏洞可能會危害周圍社區的安全和保障，這是不可接受的風險。國會需要迅速采取行動，重新授權該計劃，并授權國土安全部官員對該計劃進行長期改進，以促進化學領域強大的網絡安全?！?/span>

　　3、重新評估CFATS檢驗流程

　　CFATS檢驗流程包括幾個過程階段，包括審查安全計劃、進行授權檢查、批準安全計劃、進行合規檢查。

　　● 化學恐怖主義脆弱性培訓。企業員工必須完成化學恐怖主義脆弱性信息培訓。培訓告知員工需要保護哪些CFATS相關的漏洞信息不被泄露，以及如何保護這些信息。

　　● 化學品安全評估工具?；瘜W品安全評估工具是一個在線門戶，其中包含了與CFATS相關的應用程序。企業必須注冊才能使用化學品安全評估工具。一旦設施獲得訪問該工具的權限，企業將可以訪問CFATS相關應用程序，如在線調查、安全漏洞評估和現場安全計劃。

　　● 填寫在線調查。企業必須在獲得COI臨界水平后60個自然日內提交一個Top-Screen在線調查，除非法定排除在CFAT之外。Top-Screen是一個在線調查，包括但不限于有關設施的信息。

　　● 風險等級?；A設施安全合規部審查Top-Screen數據，以確定設施的特定風險水平，如果確定設施為高風險，則將設施分配到四個級別中的一個，其中一級代表最高風險，四級代表最低風險。在確定設施的高風險時，分層方法考慮了三個風險要素：(1)脆弱性、(2)后果、(3)威脅。未被指定為高風險的設施不受CFATS法規的附加要求的約束。

　　● 安全漏洞評估和現場安全計劃。當一家機構收到高風險等級決定時，設施必須完成并提交安全漏洞評估和兩種安全計劃中的一種現場安全計劃或替代安全計劃，該計劃描述了現有和計劃實施的安全措施，以符合適用的性能標準，包括網絡安全標準。設施自國土安全部書面通知之日起120天內提交安全漏洞評估和安全計劃。

　　● 授權。一旦設施提交安全計劃，CFATS分析師將審查設施提出的安全措施。分析員可能會提供額外的建議，供工廠考慮合并，以確保他們符合所有適用的績效標準。CFATS程序執行初始安全計劃審查后，向機構發送授權書。下一步，檢查組將安排對設施進行授權檢查。

　　● 授權檢查。授權檢查的目的是親自評估設施特征的準確性和設施授權安全計劃中記錄的安全措施的適當性。檢查組將通過直接觀察、文件審查和面談來評估安全措施。此外，檢查組將根據最新提交的Top-Screen數據核實工廠的COI庫存。檢查組與工廠合作，審查和修訂工廠提交的安全計劃，以確保工廠滿足適用性能標準的要求。如果檢查組確定某個設施不符合其授權的安全計劃，CFATS項目可生成一份通知，以解決該設施發現的缺陷。設施必須解決缺陷，并在指定日期前重新提交其安全計劃。如果這些缺陷無法解決，國土安全部有權采取適當的執法行動，從而可能導致民事處罰。

　　● 批準現場安全計劃。一旦CFATS官員審查并批準了設施的安全計劃，部門將向設施發出批準函，設施必須實施任何現有和計劃的措施。例如，計劃中的網絡安全措施可能包括提供年度網絡安全培訓和更改密碼。檢查員在隨后的合規檢查中核實計劃的措施是否到位。

　　● 合規檢查。設施安全計劃批準后，設施進入合規檢查周期。CFATS項目通常會在安全計劃批準后的12至18個月內進行首次合規檢查。合規性檢查旨在確認設施繼續執行其批準的安全計劃以及設施同意執行的任何相關計劃措施，如其批準的安全計劃所述。如果檢查專員發現現有計劃措施有重大變化，則評估是否需要進行后續技術協商，或在必要時對安全計劃進行更改。此外，如果檢查組發現設施不符合其批準的現場安全計劃，CFATS項目可發出通知，以解決發現的違規行為。設施必須在指定日期前解決已確定的違規行為，否則可能受到民事處罰。

　　4、提出“化工設施反恐標準”落實建議

　　GAO就國土安全部及其網絡安全和基礎設施安全局部門如何改進《化學設施反恐標準》計劃提出了六項建議。國土安全部同意所有建議，包括：

　　● 建立定期審查和修訂高風險化工設施需要實施的網絡安全措施指南的程序。

　　● 制定措施以評估網絡安全培訓如何為《化學工廠反恐標準》計劃的總體目標做出貢獻。

　　● 確保跟蹤并完成了針對檢查員的網絡安全培訓。

　　● 制定培訓課程評估表，以確?；ぴO施檢查員完成課程工作

　　● 為化學設施反恐標準計劃創建一個勞動力計劃，以滿足這些高風險化學設施的現代網絡安全需求，并確保解決安全準則中的任何空白。

　　● 提供有關化學設施如何很好地整合這些網絡安全指南并遵循檢查員的建議的信息。這包括更新內部數據庫，以確保它們具有有關這些設施如何制定其網絡安全計劃的最新信息。

　　參考資源

　　1.https://www.databreachtoday.com/gao-chemical-plants-vulnerable-to-cyberattacks-a-14298

　　2.https://www.gao.gov/assets/710/706972.pdf

　　3.https://thehill.com/policy/cybersecurity/498068-federal-agency-finds-chemical-facilities-vulnerable-to-cyberattacks?&web_view=true

　　4.https://www.cisa.gov/chemical-facility-anti-terrorism-standards

　　轉載來自：關鍵基礎設施安全應急響應中心

?