如果黑客想要為了削弱美國社會,他們很難摧毀整個電網或金融系統,但他們可能會對制造和運送美國人食品的公司造成嚴重損害。
據立法者、政策專家和前政府官員稱,美國食品和農業部門缺乏資源、專業知識和政府支持來保護自身及其產品免受范圍迅速擴大的網絡安全威脅。
這些不足留下了漏洞,外國政府特工或網絡犯罪分子可以利用這些漏洞遠程禁用農業設備、污染肥料、削弱牛奶供應和殺死雞。
在過去幾年中,針對肉類加工巨頭 JBS Foods 和愛荷華州農場服務公司 NEW Cooperative 的網絡攻擊暴露了該行業普遍存在的漏洞。
新技術,包括人工智能的進步,正在創造以前難以想象的風險,使不習慣處理數字安全問題的員工不堪重負。
更糟糕的是,食品和農業是少數幾個沒有信息共享和分析中心 (ISAC) 來幫助公司反擊的關鍵基礎設施行業之一。
所有這些缺點使得食品和農業公司成為一心報復西方制裁的俄羅斯特工、為其國內公司尋求競爭優勢的間諜以及尋找無法承受停機時間的受害者的勒索軟件團伙的主要目標。
聯邦政府最近開始著手應對這些危險。立法者正在介紹法案并在聽證會上強調這個問題,而一項總統指令引發了一系列報道和評論。對于最知情和最擔心黑客可能造成的混亂的人來說,這些發展早就應該發生了。
農業和食品安全是美國安全的基礎,沒有穩定的食物供應,社會就會停止運轉。
隨著該行業變得越來越自動化和數字化,對糧食和農業部門的安全威脅成倍增加。
精準農業使用 GPS 傳感器和衛星圖像來確定每塊土壤的正確肥料類型,并直接向自動移動并噴灑適當混合物的拖拉機發送指令。
如果黑客破壞了這些系統,他們可能會毒害每個使用這些系統的農民的莊稼。直到幾個月后,農作物開始長勢差或根本無法生長時,影響才會明顯。
農民也容易受到更直接的破壞。使能夠遠程禁用一批被俄羅斯軍隊偷走的烏克蘭拖拉機的遠程訪問技術,也可以讓黑客關閉美國各地的數百萬臺拖拉機。
美國的肉類供應也面臨著巨大的風險。在飼養和屠宰大多數雞的大型工業設施內,溫度和濕度由聯網計算機精確控制。通過控制這個系統,黑客可以制造一場災難。
奧本大學麥克拉里網絡和關鍵基礎設施安全研究所副主任馬庫斯薩克斯說:在 10 到 15 分鐘內,你可能會失去數萬只鳥,我們以前見過這種情況。這幾乎就像一股浪潮穿過雞舍,它們都死在那里。
準時制物流意味著即使是短期的網絡攻擊也可能造成嚴重后果。 破壞化肥或農藥生產的黑客攻擊可能會迫使農民在播種季節結束。肉類加工廠的違規行為可能導致不穩定的供應短缺。食品加工公司的篡改可能導致致命的污染。
勒索軟件攻擊已經迫使公司關閉一周的運營,導致學校沒有牛奶、果汁和雞蛋。
該行業的重大中斷會導致直接的公共健康和安全問題。
盡管越來越脆弱,但食品和農業部門仍然“并不真正了解威脅心態”,而金融服務和能源等知名度更高的部門則了解。
關鍵業務,支持有限
如今,食品和農業是沒有 ISAC 的四個關鍵基礎設施部門(共 16 個部門)之一 ,另外兩個部門是水壩、政府設施、核反應堆和材料。
食品和農業部門是最早于 2002 年推出此類中心的部門之一,但該中心于 2008 年解散,因為很少有公司通過它共享信息。
成員們擔心這種開放會損害他們的競爭優勢,并使他們面臨監管行動。薩克斯說,現在企業擔心相互交換信息可能會引發反壟斷訴訟,即使這種合作是合法的。
一些公司參加了 IT-ISAC 內的食品和農業特別興趣小組(SIG),這使他們能夠訪問一些世界上最大的科技公司的數據和分析,以及用于對抗特定黑客團體的劇本等資源。
在過去三年左右的時間里,我們與該行業的合作確實得到了擴展。在同一時期,IT-ISAC 記錄了 300 起針對食品和農業部門的勒索軟件攻擊。
SIG 的產品是有限的。它沒有定期舉行大規模演習來模擬對食品和農業公司的攻擊,也沒有配備一個 24/7 監視中心來持續監視這些公司的基礎設施(以及惡劣天氣和供應鏈中斷等相關事件),并且無法通過將機密的政府情報與來自該基礎設施內部傳感器的數據進行比較來自動生成見解和警報。
美國網絡安全和基礎設施安全局 (CISA) 前基礎設施安全助理主任說:IT-ISAC 舉辦了以糧食和農業部門為重點的演習,但該行業需要自己的 ISAC,它可以分析威脅并提供真正的運營評估。與我交談過的很多人都認為需要有一個專門的 ISAC。
公司還需要聯邦政府的更多支持。
美國農業部是該行業的部門風險管理機構,其“效率明顯低于”其他 SRMA。
美國農業部甚至沒有為其安全支持提供專項資金,其中包括一年兩次的全行業會議、每周威脅公告和偶爾的市政廳。
隨著網絡安全威脅和漏洞不斷增加,美國農業部無法履行這些 SRMA 職責,這可能會對美國農業的安全和保障產生重大影響,該部門在其 2024 財年預算提案中表示,該提案針對第一次為這項工作申請 225000 美元。
相比之下, 能源部為其網絡安全、能源安全和應急響應辦公室申請了 2.45 億美元。
美國農業部對網絡安全表現出“非常小的興趣”,他曾試圖促使官員采取行動。
USDA 發言人說,該機構和 FDA 與 CISA、FBI 和私營部門密切合作。
CISA 負責網絡安全的執行助理主任表示,他的機構正在與美國農業部和其他合作伙伴合作,以改善整個行業的網絡安全并增強對網絡中斷的適應能力。
幸運的是,美國政府內部保護國家的拖拉機、肥料、牛奶和雞免受黑客攻擊的緊迫感越來越強烈。
食品和農業行業網絡安全支持法案,將為公司創造新的聯邦資源,要求加強政府與行業之間的協調,并啟動政府問責辦公室對該行業的情況進行審查,包括是否需要 ISAC。
該法案由兩名共和黨人和一名民主黨人共同發起。
白宮也在采取行動。去年 11 月,喬·拜登總統簽署了 一份關于“美國糧食和農業的安全和彈性”的備忘錄,訂購了一套威脅報告、風險審查和脆弱性評估,以應對物理和網絡挑戰。
據國土安全部發言人稱,各機構已經完成了原定于 1 月到期的初步評估,并正在完成原定于 3 月到期的中期審查。
與此同時,專家表示,政府可以更好地利用其現有計劃來提供幫助。
美國農業部的合作推廣服務與贈地大學和社區組織合作,為美國各地的農民提供農業培訓和指導。鼓勵美國農業部利用農民與當地推廣機構之間的信任關系來推廣網絡安全最佳實踐。
薩克斯和他的同事們甚至正在考慮幫助土地贈與大學聯盟啟動一個 ISAC,它既可以促進信息共享,又可以讓學生為進入具有關鍵網絡技能的食品和農業勞動力做好準備。
無論該行業是否成立 ISAC,人們普遍認為必須采取更多措施來應對越來越多的威脅,這些威脅危及這些公司以及依賴它們維持基本生計的數億人。
一個漏洞和攻擊,可能會給下游的每個人帶來災難。
FreeBuf
全球網絡安全資訊
安全圈
虹科網絡安全
安全牛
安全圈
CNCERT國家工程研究中心
關鍵基礎設施安全應急響應中心
E安全
安全牛
網絡研究院
安全客
