|
5月1号,关键信息基础设施安全保护条例被纳入《国务院2019年立法工作计划》,由网信办、工业和信息化部、公安部负责起草。 12月1号,万众瞩目的“等保2.0”正式开始实施,工业控制系统安全正式被纳入等保2.0的评测范围。 12月3号,国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作正式启动。关键信息基础设施网络安全保护的主要内容包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,其中能源、交通、水利和很多公共服务都离不开工业控制系统。 除了这些政策法规,大家更关心更有兴趣的是真实发生的安全事件或安全事故。安全行业和保险行业很相似,没有事故发生时感觉不到它的存在和价值,只有血淋淋的事故才能改变或加深大家的认识和看法。2019年发生了很多重大的工控安全事件,这些事件也将改变或加深我们对于工控安全以及关键信息基础设施网络安全的认识和看法。 本文汇编了2019年互联网上披露的工业控制相关的安全事件或安全事故(很多工控安全事故不在网上披露),这些材料主要从国内、国外的各种官方和非官方网站收集整理而来,虽然我们尽量参考多方资料进行校对,但是难免会有不准确的地方。很多黑客组织入侵攻击的细节都需要长期的分析模拟才能反向推测还原当时真实的场景,所以今年发生的大部分事件还没有最终的分析结果,目前只有各方面媒体、机构和专家的推测,甚至有些事件还不能确认为攻击事件,大家仅作参考。 如果各位读者发现错误或失真的地方,请不吝指正,如果发现侵犯了您的知识产权,请尽快联系我们,我们将在第一时间响应并确认修改。 汇总分析 2019年,全球各地工控安全问题事件数量逐步上升,今年工控安全事件的报告数量达到329件。从2012年至今年的工控安全事件报告数量程逐年上升趋势,如下图所示: 图表 1 2012~2019 年全球工控安全事件报告数量(数据来源:中国产业信息) 工业控制的细分领域众多,据调查近年来工控安全事件涉及超过15个行业,安全事件的行业分布如下图所示: 图表 2 工控安全事件所属行业细分(数据来源:中国产业信息) 目前工控市场安全只覆盖到了其中部分行业的部分企业,要实现全面防护还有许多路要走。 下面我们来具体看一些网上公开的工业信息安全事件。 2019年1月 >>>爱尔兰都柏林电车系统遭黑客攻击 1月3日,据据《爱尔兰审查员报》报道,控制爱尔兰首都都柏林电车系统的网站Luas,早晨遭黑客入侵后下线,黑客要求五天内支付赎金。 1月3号一大早,该网站的访问者收到了黑客发来的信息,声称已从运营商Transdev Ireland窃取了数据,若不支付一枚比特币(约3300欧元或3800美元)的赎金,这些数据将会在网上发布。 图表 3 都柏林电厂运营网站收到的勒索信 在这封邮件中,黑客表示之前已就安全漏洞问题联系过电车运营商,但运营商并未作出回应,他们对此感到不满。黑客这次成功地吸引了Transdev的注意,这一点在今早发给乘客的官方推特上得到证实,该推特提醒乘客不要访问受感染的网站。Luas网站已经离线,工程师们正在审查其安全性。 >>>法国亚创集团遭勒索软件攻击 1月24日,攻击者利用LockerGoga勒索软件对亚创集团进行了勒索攻击。 1月28日,亚创集团发布声明,称技术专家正在对此次勒索事件进行取证跟进。由于此次勒索事件,亚创集团暂停了全球多项业务。 法国亚创集团成立于1982年,是一家提供创新和工程咨询服务的全球性公司,业务遍布全球30多个国家,涉及汽车、通信、生命科学、航空航天、国防、能源、金融和铁路等行业。 图表 4 法国亚创集团发布被网络攻击的声明 图表 5 法国亚创集团收到的勒索信 2019年2月 >>印度国有天然气公司数据泄露 2月10号,外媒报道,由于网络安全措施不到位,印度国有天然气公司Indane又一次暴露了数以百万计的Aadhaar生物识别数据库信息。问题出在Indane面向经销商和渠道商的网站上,尽管该网站需要有效的用户名和密码验证才能进行访问,但部分内容已经被谷歌搜索引擎编入索引。如此一来,所有人都能够绕过登陆页面,直接获得对经销商数据库的自有访问权限。 据悉,这些数据是由一名安全研究人员发现的,但因害怕印度当局的报复,他要求媒体在报道中匿名。 图表 6 印度一个安全研究人员的私信 图表 7 印度国有天然气公司泄露的数据截图 >>日本光学产品制造商Hoya遭受网络攻击 |
