在數位轉型的推動下,巴西的環衛公司越來越多地將遠端感測器和遙測系統等智慧技術融入整合自動化平台,「以優化營運並減少損失」。問題是,這項進步放大了網路攻擊的表面,而一個日益成為犯罪分子攻擊目標的產業可能會面臨駭客入侵。
結果是,網路安全不再被視為純粹的技術 IT 問題,而是被視為供水和污水處理公司的策略優先事項。水務公司現在應對複雜的網路威脅,通常旨在拆除或操縱抽水、處理或品質控制系統。
關鍵基礎設施即將到來:網路攻擊不斷增加
統計數據證實,全球針對包括衛生設施在內的基本服務公司的網路攻擊不斷升級。根據 Check Point 研究,光是 2025 年,全球每個組織平均每週遭受 1,872 次攻擊,比去年同期增加了 53%。
在巴西,2024 年9 月至2025 年2 月期間,每個組織每週約有3,059 次攻擊企圖。原因之一是此類基礎設施的策略吸引力:犯罪分子更喜歡可能造成破壞和巨大損失的目標,因為他們知道社會將需要快速解決方案,這通常轉化為贖金以恢復服務。
許多自來水公司,尤其是那些為中小人口提供服務的自來水公司,都使用傳統控制系統來運營,而這些系統從未設計用於解決當前的網路威脅環境。SCADA 網路、可程式邏輯控制器(PLC) 和遠端存取網關通常缺乏基本的安全控制,例如加密通訊或強大的身份驗證機制。
由於需要保持系統正常運作以及相容性原因,安全性更新和修復很少或不可行。鑑於這一現實,特定行業的風險評估和系統審核對於理解和減輕漏洞至關重要。
真正的影響:服務中斷、污染和聲譽受損
針對衛生系統的網路攻擊遠非理論上的風險,而是已經造成了具體影響。2021 年2 月,美國佛羅裡達州奧德馬爾市發生了一起旗艦案件,當時一名攻擊者遠端存取了水處理系統,並試圖大幅增加飲用水中氫氧化鈉(燒鹼)的用量從百萬分之 100 增加到 11,000 ppm。
如果團隊沒有及時發現,這種變化就會毒害分佈的水,造成嚴重刺激,損害肺部,甚至導致人們失明的風險。幸運的是,當局注意到了時間變化,並在受污染的水到達水龍頭之前撤銷了調整。
網路攻擊也可能完全擾亂供水服務或阻礙其運營,即使不會造成污染。在英國,2022 年8 月,為超過160 萬人提供網路服務的南斯塔福德郡水務公司遭受了勒索軟體攻擊,影響了其網路IT系統。犯罪分子聲稱還訪問了 OT 網絡,包括水化學含量的監測系統。
即使攻擊沒有立即導致缺水,所消耗的反應時間和產生的不確定性也是極其有害的。因此,情況需要額外的營運費用、動員緊急小組以及消費者信心的動搖。大眾認為「駭客入侵水域」可能會損害公用事業公司多年的聲譽。
防禦策略
為了保護其運營,公司採取了先進的網路安全策略。最有效的方法之一是零信任架構,它假設用戶、設備或應用程式無法訪問,並且「DE 預設應該受到信任,即使它已經在網路內」。
另一個支柱是IT(資訊科技)和OT(營運技術)網路之間的細分。將工業環境與公司結構的其他部分分開會嚴重阻礙攻擊的傳播。
然而,在許多情況下,公司需要對基礎設施進行更深入的分析,其中包括庫存和資產分類以及網路架構的審查。由此,除了選擇更先進的技術外,還可以對OT環境進行威脅建模,並制定事件回應計畫。在工業系統方面具有特定經驗的外部專家可以在不影響營運連續性的情況下提供這些服務。
供水和污水處理部門在國家基礎設施中發揮獨特的作用:它對於公共衛生至關重要,高度分散,並在複雜的技術生態系統中運作。面對不斷演變的網路威脅,該部門也必須成熟其數位安全方法。獨立的技術專長以前被視為補充支持,如今已鞏固為確保服務連續性、維護民眾信心和維持面對日益複雜的風險的營運復原力不可或缺的要素。
作者:Eduardo Gomes,TUV Rheinland 網路安全經理
