无数人陷入黑暗之中,医院一片混乱,银行系统遭到围攻——美国电网要是遭到网络攻击,可能会产生灾难性后果。
当联邦研究人员发现外部黑客可以控制并摧毁美国发电设备时,分析人士警告称,对电网的联合攻击可能会导致大范围断电,造成的破坏堪比多场飓风同时来袭。
监管部门要求电力公司修复这一设计缺陷,对于后来发现的其它缺陷,他们也是同样的反应。
如今,距离首次警告已过去6年,专家称,发电厂、金融机构、交通系统及其它基础设施却变得愈发脆弱。
美国前国防部长利昂•帕内塔(Leon Panetta)在2011年6月的任命听证会上表示:“我们遭遇的下一次珍珠港事件很有可能是一次网络攻击,让我们的电力系统、电网、安全系统、金融体系和政府体系都陷入瘫痪。”
时任SRA International首席执行官的斯坦顿•斯罗恩(Stanton Sloane)最近在一篇文章中写道,针对关键基础设施发动一波网络攻击,就可能造成逾7000亿美元的经济损失,相当于50场大规模飓风同时侵袭美国。
怀疑人士辩称,鼓吹这些危险的都是那些希望受聘提供帮助的人。英国等其它国家也面临此类风险,但官员们承认,美国最容易受到网络攻击,因为美国的公司和人民对互联网的依赖程度极高。
研究人员称,仅凭一小撮专业黑客,就能让许多对于保存食品和维护社会秩序至关重要的发电设施被关闭。最近一些间谍案显示,针对军事通信、银行和电信公司的攻击可能更为容易。
现已退休的美军网络行动特别小组前指挥官哈里•拉多哥中将(Lt. Gen. Harry Raduege)表示:“能源和其它系统的安全方面仍存在很大漏洞,因为它们在最初设计时就没有考虑安全因素。”拉多哥现在供职于德勤(Deloitte)。
公用事业单位称,它们在可靠性方面有着良好记录,而且还在不断改善。但上月美国公用事业行业和行业监管机构联合发布的一份安全“路线图”承认,威胁扩大的速度“快于该行业制定并部署对策的能力”。该计划的目标是在2020年前部署网络安全体系。
在美国等一些国家,电网按地区被分割为许多块,从理论上讲,这应该能把每次的潜在损害限制在一块地区内。但纽约、华盛顿或其它主要枢纽地区的长时间停电,仍可能产生毁灭性影响——一周后,食品短缺问题将明显加剧——而恶意软件既然能破坏一个地区,就也能破坏其它地区。
让美国的基础设施防御变得更为复杂的除了监管权和所有权的分立,还有下面这一事实:为安全系统升级埋单的几乎总是私营部门,而非政府。而在中国等一些国家,政府对公用事业单位有着更多的控制权,对私人商业的干预也更为直接。
但美国或许也是网络进攻方面装备最强的。人们普遍认为,美国是去年Stuxnet病毒攻击的支持者——通过微软(Microsoft)和西门子(Siemens)软件的漏洞传播Stuxnet病毒,由此摧毁了伊朗的核设施。
很多人认为Stuxnet病毒开启了一个战争新时代,第一次有证据表明,美国和中国等国既有着巨大的能力,又有着巨大的弱势。自从那次攻击以来,Stuxnet代码一直在黑客论坛流传。安全公司McAfee和战略与国际研究中心(Center for Strategic and International Studies)在今年的一次调查中发现,过去一年,全球约85%的公用事业网络遭到过犯罪分子和间谍机构入侵,而就在Stuxnet病毒被发现之前,这一比例仅略高于50%。
但最令美国国防部门担心的是电网缺乏安全性。很多电厂以及工厂车间和管道都依赖于自动化设备,这些设备可以远程重新编程,甚至不需要普通电脑用户必须提供的身份验证。Red Tiger Security的约翰•波莱(John Pollet)表示,所有的设备制造商都存在“系统性问题”。该公司对150多家工厂进行了安全评估。
今年8月,Black Hat黑客会议上的报告显示,一些控制系统能够利用谷歌(Google)特别搜索定位,接着根据指令关闭或加速,这可能会引爆一家电厂或水处理厂。其中很多控制系统是在互联网连接普及之前设计的。
中国黑客曾入侵美国机构以及科技安全公司,包括防病毒软件公司赛门铁克(Symantec)及其它保护联邦政府网络的机构,这一事实说明了威胁的严重性。
这种间谍行为不仅仅是一种巨大的威胁,而且还表明,真正的网络大战很容易爆发。“在网络王国,从操作角度讲,侦察是一项更为困难的任务,”曾任美国国家安全局(National Security Agency)局长以及中情局(CIA)局长的迈克尔•海登(Michael Hayden)表示。“在网络上不被发现,要比扰乱或破坏网络困难得多。”
即使在关键设备的弱点被公开报道后——例如今年夏季发现的西门子一个系统的主口令——繁冗的监管结构也让美国官员很难有所作为。曾著书论述过电网威胁的乔•威斯(Joe Weiss)表示,行业监管机构北美电力可靠性公司(North American Electric Reliability Corp)对于所有电力运营商都没有控制权,一直不愿采取严格的安全措施。
那些竭力增强本国防御力量的人十分清楚地意识到,在网络空间,攻击者总是具备优势。他们只需要找到一个漏洞,就能侵入整个系统,而那些试图保护这个系统的人则需要堵住所有安全漏洞——而这看似一项无法完成的任务。刚刚离职的美国国防部网络政策主管罗伯特•布特勒(Robert Butler)告诉英国《金融时报》,这就是为何网络是“一个由攻方主宰的空间”的原因。
建立一种坚不可摧的防御力量的难度,正促使西方政府在进攻方面做出更努力的工作。美国参谋长联席会议副主席詹姆斯•卡特赖特上将(James Cartwright)表示,美国把网络支出的90%用在了防御领域,只有10%放在了威慑方面,这与传统的武器平衡相反。他认为应该改变这一比例。美国需要让人相信,如果有人攻击的话,“我们有能力和实力应对”。