加州一水厂核心服务器被黑，嫌犯或面临10年监禁、25万美元罚款

蓄意攻击水处理厂，离职员工Rambler Gallo或面临10年监禁和25万美元罚款

近日，美国司法部发布消息称，联邦大陪审团指控Rambler Gallo访问加州愉景湾水处理厂的计算机网络，故意卸载水处理厂的主要运行和监控系统，然后关闭运行这些系统的服务器，对公众健康和安全造成了威胁。据司法部发布的消息显示，Rambler Gallo违反了《美国法典》第18编第1030(a)(5)(A)和(c)(4)(B)(i)款的规定，通过传输程序、信息、代码和命令，对受保护的计算机造成了损害。如果罪名成立，Rambler Gallo将面临最高10年监禁和25万美元罚款的法定刑罚。此外，法院可酌情下令延长监督释放期、追加评估和赔偿。

据悉，Rambler Gallo现年53岁，曾是马萨诸塞州一家私营公司——A公司的全职雇员。A公司与愉景湾镇签订合同，运营为愉景湾镇15000名居民提供饮用水和废水系统处理服务的水处理厂。Rambler Gallo在2016年7月至2020年12月受雇于A公司期间，是该公司的“仪表和控制技术员”，负责维护用于控制愉景湾废水处理厂机电流程的仪表和计算机系统。在此期间，Rambler Gallo在自己的个人电脑和A公司的私人内部网络上安装了软件，以便于远程访问愉景湾水处理厂的计算机网络。2021年1月，Rambler Gallo从A公司辞职后，远程访问了该水厂的计算机系统，并发送命令卸载软件，该软件是该水厂计算机网络的主要枢纽，保护着整个水处理系统，包括水压、过滤和化学物质水平。

我国高度重视关基安全

我国将“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”认定为关键信息基础设施的范畴。根据《关键信息基础设施安全保护条例》，8个行业和领域被明确确定为关键信息基础设施行业，包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业，其中，包含水利。美国加州愉景湾水处理厂遭受攻击一案，再次给我们的关基安全防护敲响了警钟。

关键信息基础设施是经济社会运行的神经中枢，发挥着基础性、全局性、支撑性作用，因而也成为攻击者青睐的攻击目标。近年来，针对关键信息基础设施的攻击频发。2010年7月，伊朗核设施受到了军用级网络攻击武器“震网（Stuxnet）”的袭击，直接导致了伊朗核计划的流产。2019年7月22日，委内瑞拉再次发生大范围停电，委内瑞拉官方表示，停电最主要的原因是受到了电磁攻击。2021年5月7日，美国最大燃油管道商Colonial Pipeline受到勒索软件攻击，导致系统下线，所有管线停止运营。

针对严峻的网络安全态势，党中央、国务院高度重视关键信息基础设施安全工作，陆续出台了一系列“关基”安全保护的政策法规。

1. 2017年6月1日实施的《中华人民共和国网络安全法》针对“关基”规定了相关制度、职责、义务、审查、安全检测评估以及统筹协作等机制；
2. 2021年9月1日施行《关键信息基础设施安全保护条例》，对关键信息基础设施的定义、关键信息基础设施的识别、关键信息基础设施的管理、关键信息基础设施的安全防护要求、运营者的责任义务、相关法律责任等内容，作了具体的规定。
3. 2023年5月1日，国家标准《信息安全技术关键信息基础设施安全保护要求》（GB/T 39204-2022）正式施行，标志着中国以关键信息基础设施为重点的网络安全保护进入了新阶段。

关键信息基础设施安全已成为维护国家安全、经济发展和社会稳定的重要基石。

关键信息基础设施需要加强型保护

鉴于关键信息基础设施的重要性，可以说是网络安全的重中之重，需要实行重点保护。NIST发布的《改善关键基础设施网络安全框架》（CSF）提出，改善关键基础设施主要需要五项核心功能，包括：识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）。组织可利用这些功能来加强对关键信息基础设施的安全保护。

1. 识别：关键信息基础设施安全防御，需要在持续监测的基础上，提升对资产、风险、业务的的识别能力。
2. 保护：保护能力的加强需要遵循重点保护、整体防护、动态风控、协同参与的基本原则，通过纵深防御、零信任微隔离技术、数据安全治理等增强安全保障能力。
3. 检测：关基企业想要抵挡住高级持续性攻击活动，就需要转变防御思维模式，化被动为主动，提升持续检测能力，实现持续监控、持续防御威胁的安全运营，及时发现网络安全事件。
4. 响应：关键信息基础设施安全建设正从过去“找漏洞”的阶段，上升到构建积极主动的防御能力阶段。在响应能力方面可以借助编排与自动化技术，将人、设备、流程进行三位一体的融合，提高安全运营各环节的响应效率。
5. 恢复：强大的恢复能力可以保证业务在可接受范围内的连续性，这也是加强关基防护的重要一环。企业组织需要创建事件响应流程，加强恢复能力，以减轻网络安全事件的影响。
6. 随着我国数字化转型步伐的不断加快，关键信息基础设施会面临更多安全风险，青藤可以从识别、保护、检测、响应和恢复能力五个方面出发，帮助能源、交通、水利、金融、公共服务、电子政务等关基行业缩小暴露面，全面提升安全能力，为数字中国、网络强国事业发展做出更多的贡献。