智能基础设施的出现为公用事业运营商和消费者创造了新的便利性和可靠性。但是,当我们在将自动化融入到我们所用的一切时,有没有人想过:这是个好主意吗?
看看漏洞
从表面上看,智能基础设施为家庭提供水、电、气等服务几乎总是一个好主意,而这也是我们这样做的原因。目前,全球范围内正在加速提供智能电表、水处理自动化套件以及其他一些创新,以帮助减轻这些东西在供应链中的负担。
这是有道理的,而且似乎没有负面影响,但人们已经意识到,像这样的设施可能比看上去更脆弱。
没有什么比2021年2月9日发生在佛罗里达州奥尔兹马尔的入侵事件更能说明这一点了。黑客入侵了为该镇15,000名居民提供服务的自来水设施,并试图命令该设施管理系统将出水总管中的氢氧化钠(碱液)水平提高到安全水平的100倍以上。
阻止此事件成为大规模人员伤亡的唯一原因是,在漏洞攻击发生的那一刻操作员就在现场。
这名黑客的得力之处在于工作人员的无能,他们使用了由该工厂每个人共享的TeamViewer密码。这个系统特别简单,但是当我们引入更高级别的复杂性(可能会存在许多漏洞)时会发生什么?
阿联酋科学家发表在ScienceDirect上的一份关于智能电网的分析报告发现,这些基础设施中存在一些可能受到损害的漏洞。他们称之为“传统电力设备之间的隐性信任”。
大多数智能电网的设计都假定没有外来设备会试图与它们的接收器通信。从理论上讲,这种信任级别将允许任何能够模仿设备“语言”的人伪造数据,并从远程位置向设备报告错误结果。
除此之外,这些电网运营商使用的许多硬件和软件都可以很容易地购买和逆向工程,因为它们类似于消费者可以获得的东西。因为它们也在使用互联网,所以找到一种执行大规模分布式拒绝服务攻击的方法也不会很困难。
应对挑战
如今,智能基础设施中存在漏洞大多由2个因素造成:人为和设计。
人为方面以运营商和最终用户接受服务的形式出现。两者(尤其是前者)都需要接受如何保护其系统和账户安全的培训,例如:
▲将密码更改为不容易猜到的复杂密码。
▲每隔几周或几个月重复上述过程。
▲不要将任何外部数据设备插入到关键任务系统中。
▲避免让那些不需要连接互联网的系统连接到互联网。
这四个简单规则可以防止2月份的佛罗里达入侵,并且也可以避免大多数攻击。
至于智能基础设施的“设计”方面,提供基本服务(例如公用事业)的公司必须考虑到他们使用的设备是否经过了严格的测试。首先必须始终关注绝缘性。您可以从假装为电表的智能手机向该接收器发送数据吗?如果可以,就弃用吧。难怪有人说:还是老式装置牢靠!