美國(guó)最大輸油管道停運(yùn)事件對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全的啟示分析

李文清，肖浥青，齊曉曼，羅 祾，郭乃網(wǎng)

(國(guó)網(wǎng)上海市電力公司電力科學(xué)研究院，上海 200437)

1 美國(guó)最大輸油管道停運(yùn)事件回顧

1.1 事件經(jīng)過(guò)

科洛尼爾(Colonial Pipeline)是美國(guó)最大的燃油管道運(yùn)營(yíng)商，成立于1962年，其運(yùn)營(yíng)的管線全長(zhǎng)逾5 500英里，途經(jīng)12個(gè)州，是美國(guó)最大的成品油運(yùn)輸管道。美國(guó)當(dāng)?shù)貢r(shí)間5月7日，勒索軟件攻擊使得科洛尼爾整個(gè)網(wǎng)絡(luò)系統(tǒng)下線癱瘓，并威脅公開(kāi)被竊數(shù)據(jù)以索取贖金。為此，該公司主動(dòng)切斷部分網(wǎng)絡(luò)連接，暫停所有管道運(yùn)營(yíng)，并且支付了約500萬(wàn)美元的贖金。其后，該公司聘用了一家領(lǐng)先的第三方網(wǎng)絡(luò)安全公司對(duì)該事件的性質(zhì)和范圍進(jìn)行了調(diào)查，同時(shí)聯(lián)系了執(zhí)法部門(mén)和其他聯(lián)邦機(jī)構(gòu)。5月8日，美國(guó)總統(tǒng)拜登聽(tīng)取該事件的簡(jiǎn)報(bào)，并積極評(píng)估事件影響。美國(guó)政府宣布將與州和地方政府合作恢復(fù)管道運(yùn)營(yíng)，避免供應(yīng)中斷。5月9日，為減緩輸油管道停擺帶來(lái)的油料供應(yīng)不足問(wèn)題，聯(lián)邦汽車運(yùn)輸安全管理局在總統(tǒng)拜登的指示下發(fā)布了一份“區(qū)域緊急狀態(tài)聲明”，對(duì)受影響的17個(gè)州和華盛頓特區(qū)給予汽油、柴油、航空燃料和其他成品油的臨時(shí)運(yùn)輸豁免，解除對(duì)公路運(yùn)輸燃油的多項(xiàng)限制?？坡迥釥栆矊⒉扇『＿\(yùn)方式實(shí)現(xiàn)交付。5月12日，該公司宣布重新啟動(dòng)輸油管道，但完全恢復(fù)可能仍需要數(shù)天時(shí)間。

1.2 事件影響

此次事件是已知的對(duì)美國(guó)能源基礎(chǔ)設(shè)施的最大網(wǎng)絡(luò)攻擊，導(dǎo)致了許多不良后果。

(1)直接影響美國(guó)經(jīng)濟(jì)。美國(guó)東部及南部是經(jīng)濟(jì)發(fā)達(dá)地區(qū)，燃油供應(yīng)關(guān)系到民航、汽車運(yùn)營(yíng)，斷供油持續(xù)數(shù)天，沿線大量地區(qū)出現(xiàn)“多米諾骨牌”效應(yīng)，引發(fā)大面積油料短缺和油價(jià)上漲。

(2)直接影響美國(guó)民眾生活和政府公信力。燃油供應(yīng)缺失直接影響居民生活，在美國(guó)政府公信度因疫情防控不當(dāng)而不斷降低的當(dāng)前，燃油供應(yīng)大范圍停運(yùn)會(huì)進(jìn)一步加劇美國(guó)人民對(duì)于政府的質(zhì)疑。

(3)間接影響美國(guó)國(guó)際形象。本次事件導(dǎo)致各國(guó)對(duì)美國(guó)政府的基礎(chǔ)設(shè)施維護(hù)能力以及網(wǎng)絡(luò)戰(zhàn)防御能力產(chǎn)生質(zhì)疑，對(duì)一向以技術(shù)發(fā)達(dá)、業(yè)務(wù)領(lǐng)先著稱的美國(guó)國(guó)際形象造成打擊。

2 原因分析及暴露問(wèn)題

2.1 直接原因

本次幕后黑手已被確認(rèn)為名叫“黑暗面”(Dark Side)的專業(yè)黑客團(tuán)體。他們聲稱此次發(fā)動(dòng)攻擊的動(dòng)機(jī)僅僅出于獲取利潤(rùn)。“黑暗面”成立于2010年，主要通過(guò)竊取公司和機(jī)構(gòu)的機(jī)密數(shù)據(jù)對(duì)受害公司勒索20～200萬(wàn)美元的贖金。至今已經(jīng)襲擊了80多家歐美企業(yè)，從中勒索了數(shù)百萬(wàn)美元。由于疫情期間科洛尼爾公司職員在家辦公，遠(yuǎn)程訪問(wèn)了輸油管道控制系統(tǒng)，導(dǎo)致遠(yuǎn)程桌面軟件賬戶登陸信息泄漏，該組織通過(guò)植入惡意軟件，控制了該公司的電腦系統(tǒng)，對(duì)近100 Gb的數(shù)據(jù)進(jìn)行強(qiáng)行加密，并威脅公開(kāi)被盜數(shù)據(jù)以索取高價(jià)贖金。為防止病毒持續(xù)擴(kuò)散，該公司關(guān)閉了部分或全部工業(yè)控制系統(tǒng)。

2.2 間接原因

私營(yíng)機(jī)構(gòu)的基礎(chǔ)設(shè)施難以應(yīng)對(duì)網(wǎng)絡(luò)新技術(shù)攻擊。美國(guó)大量能源基礎(chǔ)設(shè)施是由私營(yíng)機(jī)構(gòu)負(fù)責(zé)建造和運(yùn)營(yíng)的，其中9 000家私營(yíng)油氣生產(chǎn)商開(kāi)發(fā)了美國(guó)90%的油氣井，生產(chǎn)54%的石油和85%的天然氣，占國(guó)內(nèi)生產(chǎn)總值的4%。出于市場(chǎng)化的考量，私營(yíng)機(jī)構(gòu)往往不愿意大量投資于更新?lián)Q代快、技術(shù)成本高、即時(shí)效益不明顯的網(wǎng)絡(luò)安全防護(hù)技術(shù)與設(shè)施的維護(hù)與更新，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)留下巨大的受擊潛在隱患，一旦系統(tǒng)漏洞被外部黑客發(fā)現(xiàn)并利用，重要信息極易泄露。

2.3 暴露問(wèn)題

此次事件暴露出美國(guó)在工控系統(tǒng)技術(shù)安防層面仍有較大漏洞。一是未將工控系統(tǒng)采取物理隔離等高強(qiáng)度手段予以保護(hù)，相關(guān)部件存在可利用的漏洞，導(dǎo)致公共基礎(chǔ)設(shè)施網(wǎng)絡(luò)成為黑客攻擊首要目標(biāo)。二是缺乏應(yīng)急響應(yīng)措施，在關(guān)鍵節(jié)點(diǎn)被破壞時(shí)，未能夠及時(shí)啟動(dòng)應(yīng)急預(yù)案、投入備用系統(tǒng)。

3 網(wǎng)絡(luò)安全敲響能源企業(yè)安全警鐘

近年來(lái)，全球針對(duì)能源企業(yè)的網(wǎng)絡(luò)攻擊事件多發(fā)、頻發(fā)，網(wǎng)絡(luò)攻擊手段不斷升級(jí)，對(duì)其安全運(yùn)營(yíng)造成巨大的威脅。再加上新冠疫情在全球的蔓延，越來(lái)越多的工作需要網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行，導(dǎo)致2020年以來(lái)網(wǎng)絡(luò)攻擊對(duì)能源行業(yè)的威脅尤為突出。根據(jù)國(guó)際商業(yè)機(jī)器公司的報(bào)告，2020年能源企業(yè)遭受的網(wǎng)絡(luò)攻擊在所有行業(yè)中升至第三位(2019年為第九位)；能源也是全球工業(yè)信息安全事件第二大最頻發(fā)領(lǐng)域(見(jiàn)圖1)。

圖1 全球工業(yè)信息安全事件

以下是歷史上數(shù)次造成能源企業(yè)重大信息安全事件的網(wǎng)絡(luò)攻擊手段。

(1)“震網(wǎng)”病毒：世界上首個(gè)網(wǎng)絡(luò)“超級(jí)破壞性武器”。“震網(wǎng)”首次發(fā)現(xiàn)于2010年6月，是第一個(gè)專門(mén)定向攻擊真實(shí)世界中基礎(chǔ)設(shè)施的“蠕蟲(chóng)”病毒。該病毒通過(guò)U盤(pán)傳播，已感染全球超過(guò) 45 000個(gè)網(wǎng)絡(luò)，其中伊朗核設(shè)施遭到的攻擊最為嚴(yán)重。最終摧毀伊朗濃縮鈾工廠五分之一的離心機(jī)，導(dǎo)致核電站延遲運(yùn)行。

(2)多種黑客手段：有史以來(lái)首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊。2015年12月23日，烏克蘭多個(gè)區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊，造成大面積停電，電力中斷3～6 h，約140萬(wàn)人受到影響。本次事故中黑客采用了多種攻擊手段：一是植入惡意軟件“Black Energy” ；二是發(fā)動(dòng)網(wǎng)絡(luò)攻擊干擾控制系統(tǒng)，引起跳閘停電；三是對(duì)多家電力公司采取拒絕式服務(wù)攻擊，破壞基本通信，造成遠(yuǎn)程應(yīng)急救援及維修工作進(jìn)展艱難。

(3)勒索軟件：已成為發(fā)展最快、流行最廣的安全隱患。近年來(lái)，勒索軟件的攻擊規(guī)模和頻率居高不下，席卷了全球各個(gè)領(lǐng)域、各種規(guī)模的政府、機(jī)構(gòu)和企業(yè)。網(wǎng)絡(luò)安全行業(yè)正面臨著全新的挑戰(zhàn)出現(xiàn)一個(gè)價(jià)值數(shù)千萬(wàn)英鎊的潛在勒案生態(tài)系統(tǒng)(見(jiàn)圖2)。

圖2 勒索生態(tài)系統(tǒng)

隨著網(wǎng)絡(luò)犯罪成本和難度的不斷提高，網(wǎng)絡(luò)安全建設(shè)相對(duì)滯后的關(guān)鍵基礎(chǔ)設(shè)施逐漸成為勒索軟件攻擊的重災(zāi)區(qū)。費(fèi)城天普大學(xué)的一項(xiàng)針對(duì)全球關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊的項(xiàng)目指出，近兩年勒索軟件事件頻次陡然上升，2020年前八個(gè)月已有241起(見(jiàn)圖3)。

圖3 對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊事件統(tǒng)計(jì)

勒案軟件攻擊影響比較大的有兩起事件。

2020年4月，葡萄牙跨國(guó)能源公司EDP遭到Ragnar Locker勒索軟件襲擊，攻擊者竊取了10 Tb的敏感數(shù)據(jù)文件，向EDP索要1 090萬(wàn)美元的巨額贖金。

2020年6月和9月，歐洲能源巨頭Enel Group分別遭到EKANS和Net walker兩次勒索軟件攻擊，多達(dá)5 Tb數(shù)據(jù)被竊取，贖金高達(dá)1 400萬(wàn)美元。

隨著能源企業(yè)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越高，網(wǎng)絡(luò)安全已經(jīng)成為影響能源行業(yè)安全的重要因素，針對(duì)能源領(lǐng)域的網(wǎng)絡(luò)攻擊范圍廣、頻率高，一旦能源企業(yè)遭受網(wǎng)絡(luò)攻擊，所造成的損失和社會(huì)影響面非常之大。此外，相較于具有一定可預(yù)測(cè)性的自然災(zāi)害威脅，人為網(wǎng)絡(luò)攻擊往往來(lái)源復(fù)雜、目的各異、出其不意，具有較強(qiáng)隱蔽性，并且網(wǎng)絡(luò)攻擊手段也在不斷變化升級(jí)，防御難度較大。

4 供電企業(yè)需關(guān)注的重點(diǎn)問(wèn)題及建議

隨著各類大數(shù)據(jù)技術(shù)的應(yīng)用和企業(yè)數(shù)字化轉(zhuǎn)型工作的推進(jìn)，新能源發(fā)電廣泛接入、智能終端和電力電子設(shè)備的大量應(yīng)用以及移動(dòng)辦公的推廣，網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出分布式、泛終端的特征，網(wǎng)絡(luò)空間與物理世界的安全邊界不斷模糊。供電企業(yè)很多自建系統(tǒng)在建設(shè)時(shí)沒(méi)有考慮到網(wǎng)絡(luò)環(huán)境的因素，存在一些漏洞和隱患。

(1)建立適應(yīng)邊界模糊、廣泛互聯(lián)的新型電力系統(tǒng)的網(wǎng)絡(luò)安全智能防御體系。研究運(yùn)用零信任安全、擬態(tài)安全等新技術(shù)，完善網(wǎng)絡(luò)安全防御框架，推動(dòng)網(wǎng)絡(luò)安全策略由“邊界防護(hù)”向“內(nèi)生安全”及“角色控制”轉(zhuǎn)變，滿足“內(nèi)外兼顧”的網(wǎng)絡(luò)安全保障新需求。

(2)需要推動(dòng)建立應(yīng)急響應(yīng)協(xié)同處置機(jī)制。針對(duì)發(fā)生威脅電網(wǎng)安全運(yùn)行的網(wǎng)絡(luò)襲擊事件，制定自身網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確分級(jí)分類、由點(diǎn)及面的斷網(wǎng)保電措施，同時(shí)加強(qiáng)與能源局、網(wǎng)信辦、公安部的協(xié)同，共同建立國(guó)家級(jí)應(yīng)急響應(yīng)協(xié)同處置機(jī)制。