供水企业正逐步摆脱孤立的OT系统，转而采用更多与IT相融合的数字化互联系统，这一转变有助于它们获取更准确、实时的数据，尽管这些技术提高了效率和性能，但也为新的网络风险敞开了大门。

与其他类型的关键基础设施相比，供水系统往往更为脆弱，这主要是因为它们更有可能由市政部门所有或由规模较小的公用事业提供商运营。多年来投资不足，导致这些小型供应商缺乏现代化改造、招聘新员工或投资于更强大网络安全能力的资源，而这或许正是最大的危险所在。

供水设施面临的网络威胁

美国网络安全和基础设施安全局(CISA)曾警告称，供水和污水处理系统易受攻击，入侵者常常利用过时或未受保护的OT和工业控制系统(ICS)环境中的漏洞，这些系统暴露在互联网上，或仍在使用默认凭据。

美国水联盟(US Water Alliance)估计，全美供水服务中断一天就可能危及435亿美元的经济活动。

美国国家环境保护局(EPA)发现，有97个为约2660万用户提供服务的饮用水系统存在严重或高风险的网络安全漏洞。

供水企业领导尤其担心勒索软件、恶意软件和网络钓鱼攻击。

美国最大的供水和污水处理公用事业公司American Water曾遭遇网络安全事件，迫使该公司关闭了部分系统，此前不久，阿肯色市的水处理设施也因类似事件而被迫暂时转为手动操作。

这些攻击不仅限于美国，最近，英国南方水务公司(Southern Water)承认，其IT系统遭到犯罪分子入侵，在丹麦，黑客攻击了供水商Fanø Vand的消费者数据服务，导致数据被盗和运营被劫持，这些事件表明，这是一种全球性风险，当局认为这可能是外国行为者所为。

据Semperis称，针对公用事业公司的攻击中，有60%是由国家支持的黑客组织发起的。据信，各大网络强国多年来一直在竞争对手的基础设施内部安插恶意软件，以便日后干扰基本服务。

保护供水基础设施始于提高运营人员意识

对供水设施的网络攻击直接影响社区安全和运营人员的日常工作，因此，运营人员保持警惕和做好准备至关重要。

运营中断：攻击可能导致水泵停机、化学药剂投加量异常或监测系统失效，从而难以保障供水安全和水流畅通。

公共健康风险：篡改水处理流程可能导致水质污染，危及社区内每个人的健康。

压力增大：从网络攻击中恢复往往意味着更长时间的工作、紧急故障排除以及与应急响应人员的紧密协调。

运营人员是第一道防线，他们对系统的了解以及对网络威胁的认知，是以下方面的关键：

• 及早发现可疑活动

• 遵守安全协议

• 应对任何潜在问题

各国政府对供水行业网络安全的应对措施

欧盟正采取严肃态度应对网络安全问题，对关键服务实施更严格的执法和长期投资。根据《网络与信息安全指令2》(NIS2 Directive)，成员国需遵循安全标准、报告事件并协调国家监督，这些措施旨在帮助公用事业公司加强防御并提高韧性。

与此同时，美国似乎正朝着相反的方向发展。EPA提出的2026财年预算将削减54%的资金，从91.4亿美元降至41.6亿美元，这将是该机构过去50年来最大的资金削减。

这些削减引发了人们对联邦政府支持供水行业网络安全能力的严重担忧，特别是对于那些已经面临基础设施老化和资源有限问题的小型和农村公用事业公司而言。

然而，美国一些州正在加大力度填补这一空白。例如，纽约州宣布了新的网络安全法规，并推出了一项资助计划，以帮助公用事业公司加强防御。

提高网络安全的措施

限制互联网暴露：减少控制器和远程单元等运营设备对公共互联网的访问。定期扫描并处理任何暴露在互联网上的资产，以降低风险。

定期进行网络安全评估：对运营系统和IT系统进行频繁评估，以识别弱点。利用可用的评估工具和资源来帮助发现漏洞。

立即更改默认密码：用强且唯一的密码替换默认密码，并尽可能启用多因素身份验证(MFA)以加强安全。

保持资产清单更新：维护所有运营和IT设备的最新清单，以帮助监控和管理系统。

制定并测试事件响应计划：制定应对和恢复网络事件的计划。定期测试这些计划，以确保团队对潜在威胁做好准备。

定期备份关键系统：对关键运营和IT系统进行一致备份，以保护数据完整性并在发生攻击时支持恢复。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。