全球消息！公用電網(wǎng)面臨網(wǎng)絡(luò)攻擊導(dǎo)致全球大面積停電

讓我們?cè)O(shè)想一種“可能發(fā)生的小概率事件”——對(duì)美國(guó)電網(wǎng)的網(wǎng)絡(luò)攻擊。技術(shù)超群但心懷惡意的一群人，在陰暗的角落經(jīng)年累月炮制出一款惡意軟件，起個(gè)綽號(hào)叫“厄瑞玻斯”木馬，憑此控制了美國(guó)東北地區(qū)的電網(wǎng)系統(tǒng)。他們確定誰(shuí)還沒(méi)有安裝業(yè)界十年前就已熟知的防范網(wǎng)絡(luò)攻擊的硬件。

然后，在命中注定的一天，他們激活了惡意軟件，導(dǎo)致50個(gè)電廠的機(jī)組因過(guò)載而燒毀，從芝加哥到紐約、華盛頓特區(qū)的廣大范圍陷入一片黑暗，涉及15個(gè)州9300萬(wàn)民眾遭遇停電。盡管部分地區(qū)在24小時(shí)內(nèi)恢復(fù)了供電，然而全面恢復(fù)整個(gè)電網(wǎng)尚需數(shù)周時(shí)間——美國(guó)遭受的經(jīng)濟(jì)損失總計(jì)達(dá)到2403億美元，在最壞的情況下，損失或可上萬(wàn)億美元。

這是勞埃德與劍橋大學(xué)風(fēng)險(xiǎn)研究中心聯(lián)合發(fā)布的報(bào)告《商業(yè)停電》中假設(shè)的場(chǎng)景，反映了公用事業(yè)領(lǐng)域所面臨的網(wǎng)絡(luò)入侵正在快速增長(zhǎng)。報(bào)告同時(shí)關(guān)注了頗具挑戰(zhàn)性的問(wèn)題——網(wǎng)絡(luò)攻擊的演化速度甚至超過(guò)相應(yīng)的防御手段，如何投資公用事業(yè)使之能夠免于網(wǎng)絡(luò)攻擊的威脅？

勞埃德并不想危言聳聽(tīng)。“厄瑞玻斯網(wǎng)絡(luò)攻擊致使供電癱瘓的場(chǎng)景是極端情況，不太可能會(huì)發(fā)生。該報(bào)告不是預(yù)言，本意不在于強(qiáng)調(diào)國(guó)家某些特定基礎(chǔ)設(shè)施的脆弱性。”報(bào)告的作者稱：“設(shè)計(jì)這種極端場(chǎng)景是為了測(cè)試保險(xiǎn)從業(yè)者的一些假設(shè)，并強(qiáng)調(diào)一些應(yīng)對(duì)此類事件的預(yù)案。”

然而，該報(bào)告也不是在編造純粹想象中的威脅。使發(fā)電機(jī)組癱瘓的關(guān)鍵手段，最初是在2007年由愛(ài)達(dá)荷州國(guó)家實(shí)驗(yàn)室呈現(xiàn)的，實(shí)驗(yàn)還附帶一段視頻，展示如何使機(jī)組燒毀。這段視頻當(dāng)年一經(jīng)CNN發(fā)布，發(fā)電機(jī)組的脆弱性就成為眾多研究的對(duì)象，并引發(fā)了業(yè)界的一些舉措。

接受“曙光攻擊”測(cè)試的柴油發(fā)電機(jī)開(kāi)始冒出黑煙，2007年

該方法被稱為“曙光攻擊”，它利用遠(yuǎn)程控制手段，高速連續(xù)地開(kāi)關(guān)發(fā)電機(jī)組的旋轉(zhuǎn)斷路器，利用發(fā)電機(jī)自身的慣性使供電與負(fù)荷之間的相位角脫離同步，這將導(dǎo)致發(fā)電機(jī)過(guò)熱，最終燒毀，引發(fā)火災(zāi)甚至爆炸。

參與“曙光攻擊”防范的工程師在2013年撰文指出，一些硬件設(shè)備，如Cooper電力系統(tǒng)的iGR-933旋轉(zhuǎn)設(shè)備隔離裝置，或Schweitzer工程實(shí)驗(yàn)室的751A饋線保護(hù)繼電器，可以監(jiān)測(cè)異相位情況，使發(fā)電機(jī)免受其影響。倫敦勞埃德提出的場(chǎng)景假設(shè)“大多數(shù)公司已升級(jí)其變電所安全，但仍有10%左右的發(fā)電機(jī)仍然存在這種脆弱性。”

至于潛在的破壞者如何獲取電站系統(tǒng)的控制權(quán)，報(bào)告列舉了一些為人熟知的方法，包括“鎖定一些電廠日常運(yùn)維關(guān)鍵人員的電腦或個(gè)人電子設(shè)備；旨在削弱公司網(wǎng)絡(luò)核心與控制系統(tǒng)的‘網(wǎng)絡(luò)欺詐’攻擊；黑客遠(yuǎn)程登錄控制系統(tǒng)；以及對(duì)網(wǎng)絡(luò)監(jiān)控設(shè)施的物理入侵。”

勞埃德的報(bào)告強(qiáng)調(diào)，潛在的網(wǎng)絡(luò)破壞者需要極其復(fù)雜和謹(jǐn)慎才能不受察覺(jué)地入侵，進(jìn)而同時(shí)對(duì)多個(gè)發(fā)電機(jī)組實(shí)施攻擊。“發(fā)電廠商非常了解系統(tǒng)遭受網(wǎng)絡(luò)入侵的可能性，并已經(jīng)部署了復(fù)雜嚴(yán)格的安全流程，人力以及系統(tǒng)架構(gòu)，加以防范。”報(bào)告稱，“通常，控制系統(tǒng)與外部通信系統(tǒng)之間由防火墻隔離；需要在外部通信和內(nèi)部控制兩個(gè)系統(tǒng)間傳遞的信息將接受嚴(yán)格的掃描和處置。”

即便如此，（美國(guó)）國(guó)土安全部產(chǎn)業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急事件應(yīng)對(duì)小組（ICS-CERT）還是備案了這種類型的入侵，利用諸如筆記本電腦和個(gè)人PC這種“網(wǎng)絡(luò)主機(jī)”，運(yùn)行公用事業(yè)控制系統(tǒng)以及SCADA（數(shù)據(jù)采集與監(jiān)控）網(wǎng)絡(luò)。去年末，ICS-CERT報(bào)告了多起類BlackEnergy惡意軟件入侵滲透諸多電網(wǎng)、油氣管線以及供水系統(tǒng)控制軟件的案例。

國(guó)家安全專家向美國(guó)之音新聞透露，肇事者有可能是俄羅斯黑客，滲透可能早在2011年已開(kāi)始，波及GECimplicity控制軟件平臺(tái)。專家稱，2012年，施耐德電氣的SCADA系統(tǒng)也受到黑客攻擊。勞埃德的報(bào)告舉出了1999年以來(lái)一系列針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊。

針對(duì)公用事業(yè)IT網(wǎng)絡(luò)的滲透攻擊急速增長(zhǎng)，使得從大量普通事件中甄別出威脅性攻擊非常困難，例如數(shù)據(jù)盜竊者試圖劫持系統(tǒng)平臺(tái)，使之成為郵件僵尸。ICS-CERT報(bào)告稱，去年報(bào)告網(wǎng)絡(luò)攻擊的公司中，公用事業(yè)公司居于前列，取代了以往的核心制造業(yè)，和通信供應(yīng)商。

大多數(shù)網(wǎng)絡(luò)攻擊仍然企圖從公共機(jī)構(gòu)、IT公司、金融機(jī)構(gòu)和零售商竊取數(shù)據(jù)——今天的大眾在線處理很多財(cái)務(wù)和商業(yè)業(yè)務(wù)，網(wǎng)絡(luò)攻擊最壞的情況令人非常擔(dān)憂。

工業(yè)領(lǐng)域的網(wǎng)絡(luò)入侵者，如Stuxnet、Shamoon蠕蟲(chóng)還攻擊過(guò)伊朗鈾濃縮以及沙特石油設(shè)施，這對(duì)維持現(xiàn)代經(jīng)濟(jì)運(yùn)行的基礎(chǔ)設(shè)施構(gòu)成嚴(yán)重的威脅。勞埃德報(bào)告列舉的經(jīng)濟(jì)沖擊包括“資產(chǎn)和設(shè)施的直接破壞，供電公司銷售收入下降，業(yè)務(wù)損失供應(yīng)鏈混亂，”潛在保險(xiǎn)賠償金額約214億至711億美元。

IT互聯(lián)系統(tǒng)日益增多，像智能電表、配電網(wǎng)絡(luò)自動(dòng)化裝置、建筑能源控制系統(tǒng)等，也進(jìn)一步擴(kuò)大了網(wǎng)絡(luò)攻擊“受害者”的規(guī)模。最近的調(diào)查預(yù)測(cè)，到這一個(gè)十年結(jié)束，公用事業(yè)公司將在網(wǎng)絡(luò)安全上花費(fèi)72.5-140億美元，其中絕大部分投入SCADA網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)中。

我們?nèi)詿o(wú)法確定公用事業(yè)領(lǐng)域所面臨的網(wǎng)絡(luò)威脅是否會(huì)進(jìn)一步惡化。上個(gè)月，網(wǎng)絡(luò)安全公司Tripwire公布了一份針對(duì)400為能源高管以及IT專業(yè)人士的調(diào)查，近半數(shù)的組織相信他們能夠在24小時(shí)內(nèi)確認(rèn)針對(duì)核心系統(tǒng)的網(wǎng)絡(luò)攻擊，86%的人認(rèn)為所需時(shí)間少于一周。但作為IT通信供應(yīng)商Belden子公司的Tripwire，以及FireEye、Verizon等其他一些網(wǎng)絡(luò)安全機(jī)構(gòu)的研究發(fā)現(xiàn)，一些潛藏于公司網(wǎng)絡(luò)的入侵和滲透，甚至要花一個(gè)月才能發(fā)現(xiàn)。