美国环境保护署（EPA）报告揭露美国供水系统的网络安全风险：服务于1.93亿人的关键饮用水基础设施存在漏洞，增加了网络攻击风险。

美国环境保护署（EPA）监察长办公室（OIG）发布了一份报告，指出为美国大量人口提供服务的饮用水系统存在一些重大的网络安全漏洞。

该报告重点关注服务人口为50000人或以上的系统，报告显示，许多关键基础设施都面临着网络攻击的风险，这些攻击可能会中断服务、导致数据丢失或造成信息盗窃。

OIG对1062个饮用水系统进行了被动评估，每个系统的服务人口为50000人或以上，覆盖约1.93亿人。根据2024年10月8日进行的扫描，结果显示：

严重和高风险漏洞：为2660万人提供服务的97个系统被发现存在严重或高风险漏洞，使他们面临潜在的服务中断、服务拒绝或数据盗窃的风险。

中低风险问题：另有211个系统被确定为支持超过8270万人的系统，其开放门户可供外部访问。尽管这些系统被归类为低风险系统，但如果不加以解决，它们仍然容易受到攻击。

这些漏洞可能让恶意行为者破坏服务、窃取敏感信息，甚至对基础设施造成物理损坏。

“另外211个饮用水系统为超过8270万人提供服务，尽管网络安全漏洞级别没有达到严重或高风险的水平，但由于存在外部可见的开放门户，因此被认定为中低风险。” ---美国环保署

该报告还强调了美国环保署在有效管理网络安全事件方面的能力存在差距。督察长办公室指出，水和废水系统缺乏集中事件报告系统。这一限制妨碍了这一关键部门及时沟通和协调应对网络安全威胁。

Bugcrowd创始人Casey Ellis就此问题发表了评论，强调了供水系统等关键基础设施所面临的独特挑战。“技术老化、网络安全支持有限以及优先考虑正常运行时间的需求往往与修补或添加安全措施相冲突，”Ellis解释道。

他补充说，许多系统从未设计为连接到互联网，但已被改编以满足现代劳动力的需求，从而增加了它们遭受网络威胁的可能性。