最新报告称,针对重要基础设施企业的网络攻击呈增长趋势。虽然攻击增加,但许多企业并未采取足够的保护措施保护其系统,而是在未采取安全措施的情况下部署智能电网等新技术。结果导致“重要产业在毫不知情的情况下遭遇网络攻击”。
杀毒软件厂商McAfee委托战略与国际研究中心(CenterforStrategicandInternationalStudies,CSIS)发布了这份报告。报告对2010年第四季度14个国家油、气、电、水和污水服务企业的200名IT安全高管进行了电子调查。
数十年来,安全一直是困扰电力公司的一个大问题,去年Stuxnet病毒肆虐使安全问题再次提上紧急日程。Stuxnet利用Windows系统漏洞,以西门子监督控制和数据获得(supervisorycontrolanddataacquisition,SCADA)软件为目标进行破坏活动。在剖析该恶意软件后,专家指出该恶意软件是针对伊朗核设施设计的。
McAfee公共部门副总裁兼首席技术官菲利斯·斯奈克(PhyllisSchneck)在接受采访时说:“Stuxnet改变了我们的认知。目前的病毒攻击能够直接针对基础设施的创建工作。”
约70%受访者表示,2010年频繁发现妨碍其系统的恶意软件;近一半电力产业的受访者表示其系统上发现Stuxnet病毒。目前尚不清楚是否有电力系统已受到Stuxnet影响,但近60%受访者称,公司因Stuxnet已制定出特别安全审查制度。
美国政府责任办公室(GovernmentAccountabilityOffice)和独立安全专家称,目前Stuxnet带来的威胁还包括智能电网。56%受访者表示,其公司计划部署新智能电网系统,并通过互联网与消费者连接,其中只有三分之二的公司计划为智能电网控制采取特殊安全措施。
斯奈克说:“智能电网与家庭连接时不采取安全措施,无法抵御网络攻击,为未来发生灾难埋下隐患。”
重要基础设施厂商面临的另一个攻击趋势是敲诈勒索。四分之一的受访者表示,自己曾是网络攻击的敲诈目标,被敲诈勒索的企业数量在过去一年内增长25%。印度和墨西哥被敲诈勒索的次数最高。
安全改进步伐太小
报告显示,攻击等级提高、人们对攻击的担忧日益加重,但安全改进步伐太小。约40%受访者表示,她们相信其产业缺陷增多,近30%的受访者认为其公司未为网络攻击做好准备。
报告指出:“逾40%企业高管预计一年内将有一次重大网络攻击,会造成至少24小时的服务损失、一个生命的死亡或人身伤害,或一个公司的破产。”来自印度、墨西哥和中国高管的担忧尤其突出。
与一年前相比,情况已发生巨大变化。2009年,近一半受访者表示从未遭遇网络攻击或大规模Dos攻击。现在80%的受访者称,其企业至少遭遇过一次大规模Dos攻击;85%的受访者网络遭入侵。四分之一的受访者称遭遇每日或每周DoS攻击,四分之一表示成为网络攻击勒索的受害者。
尽管攻击增加,高管忧心忡忡,但企业并未大力强化安全措施。部署安全技术的能源企业数量只增长一个百分点,为51%;油、气企业部署安全技术的比例增长3个百分点,为48%。巴西、法国和墨西哥在安全响应方面明显滞后,采取的安全措施只有中国、意大利和日本等国家的一半。
中国和日本公司与本国政府密切合作,国家法律将防止或制止在本国发生的攻击。
【编辑推荐】
