拓展公共水系统网络安全标准

关键要点

• 美国环保署（EPA）正在依据《安全饮用水法》重新解读法规，以提升公共水系统的网络安全标准。
• 新规定要求水务机构评估其网络安全措施，确保饮用水的安全。
• 政府已注意到网络攻击对水务系统的真实威胁，近期发生了几起恶意网络事件。
• 该政策旨在保护国家饮用水安全，同时可能会增加地方政府的财政负担。

随着拜登政府推出了一项新的国家网络安全战略，重点是利用现有的监管权力来提升关键基础设施的网络安全标准，环保署（EPA）也宣布将重新解读一项已有数十年历史的环境法，以便对公共水系统施加更高的网络安全标准。

根据1974年《安全饮用水法》，EPA有权设立最低基准安全标准，以防止饮用水源的污染。公用水系统必须定期进行审计——称为卫生调查——以审查和评估水务的功能。

各州和水务单位定期进行卫生调查，以审查和评估公用水系统的功能。EPA在上周五发给各州的备忘录中表示，水务单位现在还必须评估网络安全的脆弱性是否对安全饮用水构成威胁，尤其是在使用远程或自动化系统进行操作的情况下。

EPA副行政长官拉迪卡·福克斯（Radhika Fox）表示，这份备忘录扩展了EPA对法律的解读，纳入了对水系统潜在网络及物理威胁的考虑。

“在历史上，卫生调查主要用于保护水务单位免受物理安全漏洞的影响。在我们的新网络安全备忘录下，我们明确表示卫生调查必须包括网络安全和物理安全，因为这对提供干净、安全的饮用水至关重要，”福克斯在周四的新闻发布会上表示。

根据EPA提供的背景文件，备忘录指出，任何依赖工业控制系统或其他操作技术的公共水系统，都必须“评估该操作技术在生产和分配安全饮用水方面的网络安全充分性”。如果在调查中发现网络安全缺陷，州政府将被迫利用自身的监管权力，要求相关水务单位予以解决。

网络安全显著缺陷定义

1. 缺乏必要的实践或控制措施
2. 存在高风险被利用的脆弱性

水务机构可以通过多种方式解决识别出的问题，包括自我评估、外部评估或各州主导的网络安全实践评估。EPA还根据要求提供自助的技术网络安全支持服务。

用于水务的网络威胁“并非假设”

福克斯将这些新要求视为保护国家饮用水安全的关键，“这并不是一种假设”的威胁，强调该机构已经注意到加利福尼亚、佛罗里达、堪萨斯、缅因州和内华达州等地的恶意网络事件影响了水务系统。

或许最臭名昭著的案例发生在2021年，当时佛罗里达州奥尔德斯马尔的一家水处理厂的远程访问系统遭黑客攻击，试图将水中的氢氧化钠浓度从100ppm提高到11,100ppm。氢氧化钠是一种用于清洁下水道的物质，但浓度过高会使水变得腐蚀性强，甚至可能致命。

“我们知道，针对水务系统的网络攻击对我们的安全构成了真实而重大的威胁，”福克斯说。“对水务系统的恶意攻击事件，例如关闭关键处理过程、锁定控制系统以赎金勒索，甚至禁用用于监控和控制分配系统基础设施（如抽水站）的通讯。”

白宫国家安全委员会网络安全及新兴技术副顾问安妮·纽伯格（AnneNeuberger）向记者表示，EPA的行动是政府试图利用现有监管权力，以保护关键或基础性美国服务免受网络威胁的“关键示例”。

纽伯格在周四的讲话中表示，白宫评估认为他们打算推进的大部分法规都属于现有的联邦机构权限，而在教育