美国最大的水务公司 American Water(美国水业)警告:“其计算机网络及系统内部存在未经授权的活动”。American Water 证实,该公司在检测到网络安全泄密事件之后,正在“切断或停用”部分 IT 系统。
American Water 运营着长达 53700 英里的水管、1200 口水井、620 座水处理厂、175 座污水处理厂以及 74 座水坝。它还为 18 个军事设施提供供水服务。
该公司在其网站的常见问题解答页面上表示,这次攻击迫使其关闭了计费服务。截止本文发稿时,访问该页面返回了“403 Forbidden”错误信息。不过,子域上的投资者关系页面仍然可以访问。
美国水务公司表示,已经派出了事件响应专业人员,并联系了执法部门。美国水务公司的规模,如 2024 年 9 月投资者日的演示文档所示:该公司在提交给美国证券交易委员会的文件中表示,10 月 3 日,它“获悉了其计算机网络和系统内部存在未经授权的活动,本公司确定这归因于一起网络安全事件。”文件称:“在获悉这一活动后,本公司立即启动了事件响应机制,并请来了第三方网络安全专家,以协助遏制和应对活动……本公司目前认为,其水务/废水设施或运营均未受到这起事件的负面影响。”美国水务公司在 2023 年年报中特别指出,它已经“获得了保险,为可能由物理攻击、网络攻击或安全事件造成的部分损失和损害提供保险,但此类保险受到诸多例外条款的限制。可能无法抵补由攻击或安全事件造成的全部损失或损害……”无论是通过 IT 和 OT 之间进行有效的网络分段,还是攻击者无能/对后者即 OT 不熟悉,最近针对公用事业公司的攻击似乎都未能弥合 OT 系统安全方面的鸿沟。美国水务行业可能很快就会面临改变做法的压力。这个行业充斥着老式技术,并不总是拥有资源和人手充足的 IT 职能部门,更不用说网络安全职能部门了。众议院第 7922 号法案于 2024 年 4 月提出,旨在成立一个新的管理机构 WRRO,目前该法案正在国会审议中。如果通过,它将强制要求组织满足网络弹性需求和制定实施计划,由待环境保护署(EPA)批准。WRRO 将能够对公用事业公司进行监测和评估,并对违规行为进行处罚。