讓我們設(shè)想一種“可能發(fā)生的小概率事件”——對美國電網(wǎng)的網(wǎng)絡(luò)攻擊。技術(shù)超群但心懷惡意的一群人，在陰暗的角落經(jīng)年累月炮制出一款惡意軟件，起個綽號叫“厄瑞玻斯”木馬，憑此控制了美國東北地區(qū)的電網(wǎng)系統(tǒng)。他們確定誰還沒有安裝業(yè)界十年前就已熟知的防范網(wǎng)絡(luò)攻擊的硬件。

然后，在命中注定的一天，他們激活了惡意軟件，導(dǎo)致50個電廠的機組因過載而燒毀，從芝加哥到紐約、華盛頓特區(qū)的廣大范圍陷入一片黑暗，涉及15個州9300萬民眾遭遇停電。盡管部分地區(qū)在24小時內(nèi)恢復(fù)了供電，然而全面恢復(fù)整個電網(wǎng)尚需數(shù)周時間——美國遭受的經(jīng)濟損失總計達到2403億美元，在最壞的情況下，損失或可上萬億美元。

這是勞埃德與劍橋大學(xué)風(fēng)險研究中心聯(lián)合發(fā)布的報告《商業(yè)停電》中假設(shè)的場景，反映了公用事業(yè)領(lǐng)域所面臨的網(wǎng)絡(luò)入侵正在快速增長。報告同時關(guān)注了頗具挑戰(zhàn)性的問題——網(wǎng)絡(luò)攻擊的演化速度甚至超過相應(yīng)的防御手段，如何投資公用事業(yè)使之能夠免于網(wǎng)絡(luò)攻擊的威脅？

勞埃德并不想危言聳聽。“厄瑞玻斯網(wǎng)絡(luò)攻擊致使供電癱瘓的場景是極端情況，不太可能會發(fā)生。該報告不是預(yù)言，本意不在于強調(diào)國家某些特定基礎(chǔ)設(shè)施的脆弱性。”報告的作者稱：“設(shè)計這種極端場景是為了測試保險從業(yè)者的一些假設(shè)，并強調(diào)一些應(yīng)對此類事件的預(yù)案。”

然而，該報告也不是在編造純粹想象中的威脅。使發(fā)電機組癱瘓的關(guān)鍵手段，最初是在2007年由愛達荷州國家實驗室呈現(xiàn)的，實驗還附帶一段視頻，展示如何使機組燒毀。這段視頻當(dāng)年一經(jīng)CNN發(fā)布，發(fā)電機組的脆弱性就成為眾多研究的對象，并引發(fā)了業(yè)界的一些舉措。

接受“曙光攻擊”測試的柴油發(fā)電機開始冒出黑煙，2007年

該方法被稱為“曙光攻擊”，它利用遠程控制手段，高速連續(xù)地開關(guān)發(fā)電機組的旋轉(zhuǎn)斷路器，利用發(fā)電機自身的慣性使供電與負荷之間的相位角脫離同步，這將導(dǎo)致發(fā)電機過熱，最終燒毀，引發(fā)火災(zāi)甚至爆炸。

參與“曙光攻擊”防范的工程師在2013年撰文指出，一些硬件設(shè)備，如Cooper電力系統(tǒng)的iGR-933旋轉(zhuǎn)設(shè)備隔離裝置，或Schweitzer工程實驗室的751A饋線保護繼電器，可以監(jiān)測異相位情況，使發(fā)電機免受其影響。倫敦勞埃德提出的場景假設(shè)“大多數(shù)公司已升級其變電所安全，但仍有10%左右的發(fā)電機仍然存在這種脆弱性。”

至于潛在的破壞者如何獲取電站系統(tǒng)的控制權(quán)，報告列舉了一些為人熟知的方法，包括“鎖定一些電廠日常運維關(guān)鍵人員的電腦或個人電子設(shè)備；旨在削弱公司網(wǎng)絡(luò)核心與控制系統(tǒng)的‘網(wǎng)絡(luò)欺詐’攻擊；黑客遠程登錄控制系統(tǒng)；以及對網(wǎng)絡(luò)監(jiān)控設(shè)施的物理入侵。”

勞埃德的報告強調(diào)，潛在的網(wǎng)絡(luò)破壞者需要極其復(fù)雜和謹慎才能不受察覺地入侵，進而同時對多個發(fā)電機組實施攻擊。“發(fā)電廠商非常了解系統(tǒng)遭受網(wǎng)絡(luò)入侵的可能性，并已經(jīng)部署了復(fù)雜嚴格的安全流程，人力以及系統(tǒng)架構(gòu)，加以防范。”報告稱，“通常，控制系統(tǒng)與外部通信系統(tǒng)之間由防火墻隔離；需要在外部通信和內(nèi)部控制兩個系統(tǒng)間傳遞的信息將接受嚴格的掃描和處置。”

即便如此，（美國）國土安全部產(chǎn)業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急事件應(yīng)對小組（ICS-CERT）還是備案了這種類型的入侵，利用諸如筆記本電腦和個人PC這種“網(wǎng)絡(luò)主機”，運行公用事業(yè)控制系統(tǒng)以及SCADA（數(shù)據(jù)采集與監(jiān)控）網(wǎng)絡(luò)。去年末，ICS-CERT報告了多起類BlackEnergy惡意軟件入侵滲透諸多電網(wǎng)、油氣管線以及供水系統(tǒng)控制軟件的案例。

國家安全專家向美國之音新聞透露，肇事者有可能是俄羅斯黑客，滲透可能早在2011年已開始，波及GECimplicity控制軟件平臺。專家稱，2012年，施耐德電氣的SCADA系統(tǒng)也受到黑客攻擊。勞埃德的報告舉出了1999年以來一系列針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊。

針對公用事業(yè)IT網(wǎng)絡(luò)的滲透攻擊急速增長，使得從大量普通事件中甄別出威脅性攻擊非常困難，例如數(shù)據(jù)盜竊者試圖劫持系統(tǒng)平臺，使之成為郵件僵尸。ICS-CERT報告稱，去年報告網(wǎng)絡(luò)攻擊的公司中，公用事業(yè)公司居于前列，取代了以往的核心制造業(yè)，和通信供應(yīng)商。

大多數(shù)網(wǎng)絡(luò)攻擊仍然企圖從公共機構(gòu)、IT公司、金融機構(gòu)和零售商竊取數(shù)據(jù)——今天的大眾在線處理很多財務(wù)和商業(yè)業(yè)務(wù)，網(wǎng)絡(luò)攻擊最壞的情況令人非常擔(dān)憂。

工業(yè)領(lǐng)域的網(wǎng)絡(luò)入侵者，如Stuxnet、Shamoon蠕蟲還攻擊過伊朗鈾濃縮以及沙特石油設(shè)施，這對維持現(xiàn)代經(jīng)濟運行的基礎(chǔ)設(shè)施構(gòu)成嚴重的威脅。勞埃德報告列舉的經(jīng)濟沖擊包括“資產(chǎn)和設(shè)施的直接破壞，供電公司銷售收入下降，業(yè)務(wù)損失供應(yīng)鏈混亂，”潛在保險賠償金額約214億至711億美元。

IT互聯(lián)系統(tǒng)日益增多，像智能電表、配電網(wǎng)絡(luò)自動化裝置、建筑能源控制系統(tǒng)等，也進一步擴大了網(wǎng)絡(luò)攻擊“受害者”的規(guī)模。最近的調(diào)查預(yù)測，到這一個十年結(jié)束，公用事業(yè)公司將在網(wǎng)絡(luò)安全上花費72.5-140億美元，其中絕大部分投入SCADA網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)中。

我們?nèi)詿o法確定公用事業(yè)領(lǐng)域所面臨的網(wǎng)絡(luò)威脅是否會進一步惡化。上個月，網(wǎng)絡(luò)安全公司Tripwire公布了一份針對400為能源高管以及IT專業(yè)人士的調(diào)查，近半數(shù)的組織相信他們能夠在24小時內(nèi)確認針對核心系統(tǒng)的網(wǎng)絡(luò)攻擊，86%的人認為所需時間少于一周。但作為IT通信供應(yīng)商Belden子公司的Tripwire，以及FireEye、Verizon等其他一些網(wǎng)絡(luò)安全機構(gòu)的研究發(fā)現(xiàn)，一些潛藏于公司網(wǎng)絡(luò)的入侵和滲透，甚至要花一個月才能發(fā)現(xiàn)。