美国推进化工设施网络安全的新动向

作者 天地和兴工控安全研究院

近日，美国政府问责办公室（GAO）应国会请求，发布了《需采取行动加强国土安全部对高风险化工设施网络安全的监督》审计报告。国土安全部通过“化学设施反恐标准”计划来监督高风险化学设施的安全，然而十多年来该化工设施网络安全指南从未更新，生产、使用或存储危险化学品的设施很容易遭受严重的网络攻击。GAO总结了化工设施信息和过程控制系统存在的多种风险，即网络资产保护不当、蓄意或敌对威胁、网络威胁攻击者，并对如何改进“化学设施反恐标准”提出了六条建议。

恐怖分子可能会将生产、使用、存储危险化学品的设施作为攻击目标或使用，以造成大规模的伤亡、破坏和恐惧。这些化学物质可能会从设施中释放出来，从而对周围的人群造成伤害，也可能被盗并用作化学武器或用作其原材料（制造化学武器的成分）。此外，随着对信息系统的依赖不断增加，基于网络的威胁行为体（例如恐怖分子、罪犯、国家）可能恶意操纵组织的物理安全、信息和过程控制系统，以窃取化学物质或通过释放造成伤害或爆炸。例如，美国能源部爱达荷州国家实验室在2018年报告称，恶意行为者将一家中东公司的工业安全系统作为目标，旨在破坏工业控制系统，以便攻击者访问安全系统并修改指令，可能有人身危险或对人造成伤害。

一、 重启化工设施网络安全议题的背景

4月14日，美国政府问责办公室（GAO）在发布的《需采取行动加强国土安全部对高风险化工设施网络安全的监督》审计报告中表示，由于政府网络安全指南已经过时，生产、使用或存储危险化学品的设施很容易遭受严重的网络攻击。国土安全部（DHS）通过“化学设施反恐标准”计划来监督高风险化学设施的安全，但是十多年来从未更新该设施的网络安全指南。

化学设施反恐标准（CHEMICAL FACILITY ANTI-TERRORISM STANDARDS，CFATS）是美国的第一个监管项目，专门针对高风险化学设施的安全性。网络安全和基础设施安全局（CISA）通过与化工行业合作来管理CFATS计划，以确保设施具备安全措施，减少与某些危险化学品有关的风险，并防止恐怖分子将其武器化。CFATS计划对美国大约3,300家工厂的运营进行监管，其中许多工厂使用互联网连接设备等较新的技术作为其运营的关键部分，并将其与过程控制系统和物理安全性进行集成，这为恶意行为者提供了远程访问这些网络的机会，使这些设施更容易受到网络威胁的攻击。

该报告结果显示，化工行业的公司越来越寻求通过连接其物理安全、信息和过程控制系统来提高效率。但是，这些系统之间的融合对于包括化学制造设施在内的关键基础设施的所有者和运营商而言是一项重大挑战，因为它为潜在的网络对手提供了访问这些系统的新机会。

GAO表示，“对化学设施的信息和过程控制系统的成功网络攻击可能会中断或关闭运营，并导致严重后果，例如公共卫生和安全风险，包括重大生命损失。”

GAO表示，国土安全部应考虑修订其对化学设施的网络安全指南，并同时制定计划以跟踪和评估检查员的网络安全培训。

GAO发现，DHS没有收集或跟踪评估项目中评估设施的检查人员的网络安全知识的数据，从而危害整体安全。GAO表示，“正在评估设施网络安全态势的检查人员可能不具备知识、技能和能力来完全支持该计划的网络安全相关任务。”

国土安全部官员吉姆·克鲁姆帕克（Jim Crumpacker）在回应GAO时表示，“网络安全是国土安全部国家化学安全方法不可或缺的一部分。该部门仍致力于确保高风险的化学设施正在实施适当的物理和网络安全措施。”

GAO强调了成功对化学设施进行网络攻击所涉及的风险。该类型的高风险化学设施被认为是该国关键基础设施的一部分，该基础设施正日益遭受攻击的风险。国土安全部曾在2月份向运行关键系统的公司发出了警报，警告说它们是黑客的目标。该警报是在某“天然气压缩设施”遭受成功的网络攻击后发出的，该攻击迫使该组织暂时关闭了业务。

二、 美国化工行业面临的主要网络威胁

信息技术是日常化工设施运营的重要组成部分，包括业务系统和过程控制系统。虽然化工行业的公司越来越多地寻求通过连接物理安全、信息和过程控制系统来提高效率，但系统之间的融合是一个重大挑战，因为它为潜在的网络攻击者访问这些系统创造了机会。此外，过程控制系统正在发生变化，这种变化为系统操作员提供了优势，但也使他们更容易受到网络攻击。特别是，这些系统中的专有设备正在被使用传统网络协议（包括支持远程访问的协议）的更便宜和更广泛可用的设备所取代。设备中的远程访问功能可以使它们更易于维护。此外，正在使用传统的计算机和操作系统设计和实施过程控制系统，使它们能够更容易地与支持化学品销售、转让或分销的公司业务系统相连接。例如，在2015年针对乌克兰电力系统的攻击中，恶意的国家行为体利用钓鱼电子邮件在商业IT网络上部署恶意软件。据报道，在获得对商业IT网络的初始访问权后，攻击者使用了多种技术来访问公用事业公司的工业控制系统网络。

化工设施信息和过程控制系统存在多种风险，包括网络资产保护不当、蓄意或敌对威胁、网络威胁攻击者。

● 网络资产保护不当会增加发生安全事件和网络攻击的可能性，这些事件和攻击会破坏关键业务，导致对敏感信息的不当访问、披露、修改、销毁，并威胁国家安全、经济福祉和公共健康与安全。故意或非故意的威胁来源可能包括设备或软件因老化而发生的故障、资源消耗、以及终端用户所犯的错误，还包括自然灾害和本组织所依赖但不受本组织控制的关键基础设施的故障。

● 蓄意或敌对威胁可能包括腐败的雇员、犯罪集团、恐怖分子和试图利用本组织对网络资源的依赖的国家(即电子形式的信息、信息和通信技术，以及这些技术提供的通信和信息处理能力）。这些威胁攻击者的能力、行动意愿和动机各不相同，其中可能包括寻求金钱利益或寻求经济、政治或军事优势。

● 网络威胁攻击者可以利用各种技术、战术、做法或漏洞对组织的计算机、软件或网络造成不利影响，或截获或窃取有价值或敏感的信息。这些利用是通过各种渠道进行的，包括网站、电子邮件、无线和蜂窝通信、互联网协议、便携式媒体和社交媒体。此外，对手可以利用常见的计算机软件程序（如Adobe Acrobat和Microsoft Office），通过在软件文件中嵌入漏洞来传递威胁，当用户在其相应程序中打开文件时，可以激活这些软件文件。此外，网络威胁攻击者可能通过互联网或其他通信途径渗透到信息和过程控制系统，从而潜在地破坏其服务，并导致泄漏、释放、爆炸或火灾。此外，过程控制系统曾经基本上与因特网和本组织的信息技术系统隔离开来，现在越来越多地与现代化学设施连接在一起，使网络攻击从业务系统发起，并转移到操作系统。

化工设施的潜在网络威胁

有关成功执行的网络攻击和已知的网络相关威胁的报告说明了这些攻击对信息和过程控制系统的影响。2018年，恶意国家行为体利用网络钓鱼和其他类似的方式来攻击组织，以获取对其网络和业务系统的访问权，进行侦察、收集和操纵有关工业的信息控制系统。获得对连接到过程控制系统的信息系统的访问权限的恶意行为体可能获得对过程控制系统的访问权限。通过此访问，行为体可以通过更改传感器设置或操纵与过程控制系统通信的消息，并导致控制器进行不适当的更改，从而导致服务丢失或物理破坏。

三、主要举措

1、推动安全指南的更新

作为审计工作的一部分，GAO发现，由于《化学设施反恐标准》计划的网络安全部分已经过时，因此，在很大程度上与大型化工公司和设施无关，这些公司和设施现在都在遵循自己的安全准则。

GAO的研究人员采访了化学工业协会的官员。其中一些官员告诉审计人员，由于DHS指南已有近十年的历史，因此大型化工企业和设施可能不再觉得它们有用，他们自己的安全计划已经成熟，可以应对更多现代威胁。

此外，GAO发现，尽管“化学工厂反恐标准”计划为检查员提供了网络安全培训，但没有评估这些培训计划有效性的程序。报告指出，国土安全部或其CISA部门均未收集有关培训的任何数据。因此，国土安全部官员无法提供有关检查员接受了培训的信息。

国土安全部和CISA官员告诉GAO，他们一直在努力使培训保持最新状态，但是技术变革的步伐使这一工作变得困难。报告指出，他们在2019年与外部承包商合作，开发了更新的培训模块。

2、推动立法

GAO报告发布之际，众议院国土安全委员会正在推动更新《化学工厂反恐标准》计划，该计划将于7月到期，因此安全漏洞变得更加复杂。众议院国土安全委员会去年批准了一项更新法案，以延长该计划的执行时间，但该法案尚未安排众议院付诸表决。

委员会主席本尼·汤普森（D-Miss）在5月15日发布的一份声明中表示，国会需要“迅速采取行动”来更新该计划。“GAO明确指出，化学设施的网络安全漏洞可能会危害周围社区的安全和保障，这是不可接受的风险。国会需要迅速采取行动，重新授权该计划，并授权国土安全部官员对该计划进行长期改进，以促进化学领域强大的网络安全。”

3、重新评估CFATS检验流程

CFATS检验流程包括几个过程阶段，包括审查安全计划、进行授权检查、批准安全计划、进行合规检查。

● 化学恐怖主义脆弱性培训。企业员工必须完成化学恐怖主义脆弱性信息培训。培训告知员工需要保护哪些CFATS相关的漏洞信息不被泄露，以及如何保护这些信息。

● 化学品安全评估工具。化学品安全评估工具是一个在线门户，其中包含了与CFATS相关的应用程序。企业必须注册才能使用化学品安全评估工具。一旦设施获得访问该工具的权限，企业将可以访问CFATS相关应用程序，如在线调查、安全漏洞评估和现场安全计划。

● 填写在线调查。企业必须在获得COI临界水平后60个自然日内提交一个Top-Screen在线调查，除非法定排除在CFAT之外。Top-Screen是一个在线调查，包括但不限于有关设施的信息。

● 风险等级。基础设施安全合规部审查Top-Screen数据，以确定设施的特定风险水平，如果确定设施为高风险，则将设施分配到四个级别中的一个，其中一级代表最高风险，四级代表最低风险。在确定设施的高风险时，分层方法考虑了三个风险要素：（1）脆弱性、（2）后果、（3）威胁。未被指定为高风险的设施不受CFATS法规的附加要求的约束。

● 安全漏洞评估和现场安全计划。当一家机构收到高风险等级决定时，设施必须完成并提交安全漏洞评估和两种安全计划中的一种现场安全计划或替代安全计划，该计划描述了现有和计划实施的安全措施，以符合适用的性能标准，包括网络安全标准。设施自国土安全部书面通知之日起120天内提交安全漏洞评估和安全计划。

● 授权。一旦设施提交安全计划，CFATS分析师将审查设施提出的安全措施。分析员可能会提供额外的建议，供工厂考虑合并，以确保他们符合所有适用的绩效标准。CFATS程序执行初始安全计划审查后，向机构发送授权书。下一步，检查组将安排对设施进行授权检查。

● 授权检查。授权检查的目的是亲自评估设施特征的准确性和设施授权安全计划中记录的安全措施的适当性。检查组将通过直接观察、文件审查和面谈来评估安全措施。此外，检查组将根据最新提交的Top-Screen数据核实工厂的COI库存。检查组与工厂合作，审查和修订工厂提交的安全计划，以确保工厂满足适用性能标准的要求。如果检查组确定某个设施不符合其授权的安全计划，CFATS项目可生成一份通知，以解决该设施发现的缺陷。设施必须解决缺陷，并在指定日期前重新提交其安全计划。如果这些缺陷无法解决，国土安全部有权采取适当的执法行动，从而可能导致民事处罚。

● 批准现场安全计划。一旦CFATS官员审查并批准了设施的安全计划，部门将向设施发出批准函，设施必须实施任何现有和计划的措施。例如，计划中的网络安全措施可能包括提供年度网络安全培训和更改密码。检查员在随后的合规检查中核实计划的措施是否到位。

● 合规检查。设施安全计划批准后，设施进入合规检查周期。CFATS项目通常会在安全计划批准后的12至18个月内进行首次合规检查。合规性检查旨在确认设施继续执行其批准的安全计划以及设施同意执行的任何相关计划措施，如其批准的安全计划所述。如果检查专员发现现有计划措施有重大变化，则评估是否需要进行后续技术协商，或在必要时对安全计划进行更改。此外，如果检查组发现设施不符合其批准的现场安全计划，CFATS项目可发出通知，以解决发现的违规行为。设施必须在指定日期前解决已确定的违规行为，否则可能受到民事处罚。

4、提出“化工设施反恐标准”落实建议

GAO就国土安全部及其网络安全和基础设施安全局部门如何改进《化学设施反恐标准》计划提出了六项建议。国土安全部同意所有建议，包括：

● 建立定期审查和修订高风险化工设施需要实施的网络安全措施指南的程序。

● 制定措施以评估网络安全培训如何为《化学工厂反恐标准》计划的总体目标做出贡献。

● 确保跟踪并完成了针对检查员的网络安全培训。

● 制定培训课程评估表，以确保化工设施检查员完成课程工作

● 为化学设施反恐标准计划创建一个劳动力计划，以满足这些高风险化学设施的现代网络安全需求，并确保解决安全准则中的任何空白。

● 提供有关化学设施如何很好地整合这些网络安全指南并遵循检查员的建议的信息。这包括更新内部数据库，以确保它们具有有关这些设施如何制定其网络安全计划的最新信息。

参考资源

1.https://www.databreachtoday.com/gao-chemical-plants-vulnerable-to-cyberattacks-a-14298

2.https://www.gao.gov/assets/710/706972.pdf

3.https://thehill.com/policy/cybersecurity/498068-federal-agency-finds-chemical-facilities-vulnerable-to-cyberattacks?&web_view=true

4.https://www.cisa.gov/chemical-facility-anti-terrorism-standards

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。