4月19日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在京主持召开网络安全和信息化工作座谈会并发表重要讲话。
习近平强调,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
对于这次座谈会及其所强调的网络安全问题,不仅信息行业高度关注,实业界更给予了特别关注。
2015年,我国明确提出“互联网+”“中国制造2025”等重大战略举措,智能制造、智能终端成为中国制造新的“标配”。与此同时,工业控制网络安全成为无法躲避和回避的新的工业命题、国家安全命题。
近年来,国内外发生的越来越多的工业控制网络安全事件,用惨重的经济损失和被危及的国家安全警示我们:工业控制网络安全正在成为网络空间对抗的主战场和反恐新战场。
代码即武器
这是一场普通人看不到、也无法想象的新式战争。
2014年“超级电厂”病毒事件,全球上千座发电站遭到攻击,欧美等国家为重灾区;2015年“BlackEnergy”病毒事件,乌克兰至少有三个区域的电力系统被攻击导致大规模停电;2016年3月,美国国防部长卡特首次承认:美国使用网络手段攻击了叙利亚ISIS组织……
随着信息技术和网络技术的迅猛发展,国家安全边界已经超越地理空间限制,延伸到了信息网络。
“棱镜门”事件后,世界各国深刻认识到网络治理权关乎国家网络安全和利益,网络空间已经成为继陆、海、空、天之后的第五大国家主权空间。
2015年末发生的乌克兰电网断电事件,以及2016年年初发生的乌克兰机场受攻击事件都表明:一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标;而且,工业控制系统安全漏洞及攻击方式,已经成为“黑市”热销商品,甚至被作为“特殊武器”列入“瓦森纳协定”(全称为《关于常规武器和两用物品及技术出口控制的瓦森纳安排》)的控制清单,而中国在被禁运国家之列。
在智能化社会背景下,工业控制网络正成为网络空间对抗的主战场和反恐新战场。
秘而不宣的工业网络安全事件
在信息技术与传统工业融合的过程中,工业控制系统正面临越来越多的网络安全威胁。
2014年,工控用户在控制系统中发生网络安全事故的比例有所提升,受网络安全事件影响的企业占比达到了28.6%,因病毒造成工控网络停机的企业高达19.1%。
2015年仅美国国土安全部的工业控制系统网络应急响应小组(ICS-CERT)就收到了295起针对关键基础设施的攻击事件,事实上,我们所看到的工业网络安全事件,只是冰山一角,还有更多的工业控制网络安全事件被秘而不宣。
2014年12月,德国联邦信息安全办公室公布消息称:德国一家钢铁厂遭受高级持续性威胁(APT)网络攻击,并造成重大物理伤害。攻击导致工控系统的控制组件和整个生产线被迫停止运转,由于是非正常关闭炼钢炉,这次事件给钢铁厂造成了巨大的损失。
2015年4月,美国赛门铁克公司声称发现了一个主要针对石油、天然气等能源行业的木马程序,该木马能够收集目标机器的数据,并将数据发送给木马制作者进行分析,从而决定是否进一步入侵。
2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击,导致长达5个小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名旅客滞留。这是全球首次发生的航空公司操作系统被黑事件。
2015年12月23日,乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击,导致大规模停电,伊万诺-弗兰科夫斯克地区超过一半的家庭(约140万人)遭遇停电困扰;整个停电事件持续数小时之久。在发电站遭受攻击的同一时间,乌克兰境内的其他多家能源企业如煤炭、石油公司也遭到了针对性的网络攻击。
基础设施、智能制造、智能终端,都可能成为“武器”
北京匡恩网络科技有限责任公司(下称“匡恩网络”)总裁孙一桉告诉《中国经济周刊》:超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统己广泛应用于国计民生的各个领域,包括基础设施、民生/智慧城市、先进制造业和军队军工等。
“最近美国刚刚发生了黑客破坏污水处理系统事件,造成饮用水受到污染。在人口高密度的国家,基础设施是一个不可忽略的领域,一旦被攻击或破坏,就会造成极大的危害。以城市里的化工厂或者临近水源的化工厂为例,如果整个工控系统被控制的话,这些工厂本身就变成了一个被利用的武器。在智能制造领域,绝大多数已发现的网络问题,并不是恶意攻击事件,而是系统被病毒入侵,设备有被控制的痕迹。”孙一桉说。
工业网络的安全问题,体现在民生领域的实例,就是越来越普及的智能终端。孙一桉告诉《中国经济周刊》,现在汽车、飞机、船舶都变得更加智能化了,医院里也有了越来越多的智能终端。
“两年前,在美国的一次会议上,安全研究人员做了一个演示:一个房间里是一台联网的电脑,另一个房间有一个心脏起搏器,他们通过电脑控制并关闭了另一个房间的心脏起搏器。如果这个心脏起搏器是装在病人身上的话,毫无疑问,这个病人肯定就一命呜呼了。安全研究人员还特别强调:演示中使用的心脏起搏器型号跟某位前任副总统使用的型号一模一样。”
“再举个汽车的例子。我们经常可以看到广告里有这样的场景:当两辆汽车非常靠近的时候,汽车会自动执行刹车。这个功能看起来很智能,但其实非常可怕。这意味着在我们的汽车上有一组芯片,可以不受我们的控制去改变速度,另外,很多车上都安装有车载多媒体娱乐系统,这一系统与互联网联通,如果黑客通过车载多媒体系统入侵我们控制刹车的芯片,其危险不言而喻。
病毒攻击成了非常克制的“国家间行为”
以2010年攻击伊朗核设施的“震网”超级病毒为标志性事件,工业控制网络的对抗已经成为影响各国国防安全的重要元素。
据孙一桉介绍,2010年伊朗核设施遭受“震网”超级病毒攻击,大量生产核燃料用的离心机遭到破坏,病毒的复杂程度超出人们的想象,该事件也被称为世界上首个“网络超级武器”事件。由于工业病毒攻击可以直接导致物理设备的故障,并进一步造成生产瘫痪甚至爆炸的灾难性后果,以美国为代表的各国政府已经将工业漏洞代码列为军备物资并限制出口和交易。
2015年5月,美国商务部提交了新的出口限制禁令:将未公开的软件漏洞代码视为潜在武器。
2015年5月,美国公布了“瓦森纳协定”的修改草案,这一协定将黑客技术加入了全球武器限制贸易的条约,这一新规可能使渗透测试工具、网络入侵、利用零日漏洞变成犯罪。
2016年3月,美国国防部长卡特首次承认:美国使用网络手段攻击了叙利亚ISIS组织。
孙一桉告诉《中国经济周刊》:工业控制网络安全已经成为国与国之间对抗的前沿阵地。美国从2008年就建立了国家级的工业控制系统攻防靶场——“曼哈顿计划”,与其核武器计划同名可见重视程度。
代码即武器,在数字化经济和数字化系统中,代码成为了一种攻击手段。“近两年,代码这个武器在民间得到了使用,成为恐怖袭击的手段。2015年,‘11·13巴黎恐怖袭击事件’中,恐怖分子利用网络手段来躲避检查,他们用某品牌的游戏机相互通讯。恐怖分子被抓住之后,发现他们身边有一本安全手册,告诉他们在什么情况下怎么做不会被抓到等等。
恐怖分子利用网络手段去躲避检查和被捕,到利用网络手段去进行攻击时间不会太长。2015年12月,乌克兰电网、能源部门遭受网络攻击,这些事件都是冰山一角。其背后的黑色产业已经在迅速蔓延。”
孙一桉说,工业控制网络安全不仅是国家间对抗的前沿和焦点,而且也是我们国家反恐的新战场。“像攻击伊朗核设施的‘震网’病毒,就有几万行代码。70%以上的代码是干什么的?就是保证病毒在不该发生的地方不发生,它是非常克制的,是国家间行为。到了2014年,‘Havex’病毒事件发生时,它一个月就衍生出几百个变种,在民间也有广泛的传播”。
新战场:交易简单、破坏力惊人的武器,长期潜伏、态度暧昧的敌人
孙一桉告诉《中国经济周刊》:“这个领域还有一个特点:攻击绝对不是一时兴起的短期行为。对基础设施来讲,它一旦找到入口,就会扎根于此。因为它知道基础设施十几年都未必更新,它会长期潜伏。不管你用什么设备,都不能假设它进不来,我们称之为入侵容忍度,真正要建立解决方案,必须要在它能够进来的前提下,怎么让损失最小化。这个战争会持续进行下去,并将成为一个国家的核心竞争力。未来哪个国家在这个领域领先,就如同掌握了核武器一样,动一动按钮就可以攻击别人。”
“而且,这种武器交易起来很容易。举例说,如果你想把一个核弹头运到什么地方特别费劲,但把一个攻击病毒,比如从美国传到伊朗,是一瞬间的事儿,非常之容易,它的传播速度和广度,比核扩散还吓人,还恐怖。这场新的战争现在才刚刚开始。这场对抗,应该引起跨行业的、高度的、国家级的重视。”孙一桉说。纵观世界各国,不管政府财力如何都已经在这方面下足了工夫。“美国2008年建靶场,英国紧随其后,2010年建的靶场。日本在经济相对非常困难的情况下,2013年建了一个国家级靶场,我后来曾经去参观过,去的时候它已经停用了,据说是后续资金没跟上,这两年又重新启动了。”
工控网络安全正成为网络空间对抗的主战场和反恐新战场。一方面是政府和商业利益的双重诱因。“工业控制网络攻击的成本远远低于传统的战争手段,但可能造成的严重后果却不亚于战争,因此不仅各国政府不断扩充网络军队进行攻防演练,民间黑客组织也非常活跃地在挖掘和利用工业漏洞,并通过工业漏洞开发各种隐蔽的数据窃取和劫持手段,从而获取巨大的商业利益。”孙一桉说。
此外,网络恐怖主义也随之甚嚣尘上。2015年以来,已经出现了恐怖分子利用工业控制系统进行网络袭击的案例。ISIS国际恐怖组织更是持续进行网络攻击,甚至在其内部进行网络安全培训,网络恐怖主义的威胁已经逐渐渗透到工业控制系统,对国家安全和民生构成严重威胁。
据孙一桉介绍,个别西方国家还蓄意挑起网络战争题材的概念。对“震网”病毒研究最多的一个德国科学家,他几年之间连续发表了一系列论文,他追溯了“震网”病毒的几个变种,得出的结论非常吓人:早期的变种是非常隐蔽的,发展到后来,它把随机隐蔽功能去掉了。这意味着它想让别人发现它。
这背后的用意,很难揣测,但值得玩味。
链接:“Havex”病毒事件:
2014年,多家反病毒企业先后发现:有黑客团体利用一种面向工业控制系统的木马“Havex”,对为数众多的工业企业和设施实施了信息侦察等。
