澳大利亞地方審計署的年度財務(wù)審計報告，國有供水商SunWater遭到網(wǎng)絡(luò)入侵長達(dá)9個月，自己卻始終毫無察覺；

　　被入侵服務(wù)器存放了客戶數(shù)據(jù)，但攻擊者似乎無意查看，只是植入了一個視頻刷量的惡意軟件；

　　年審報告稱，再次發(fā)現(xiàn)多個供水商信息系統(tǒng)存在控制缺陷，網(wǎng)絡(luò)攻擊仍然構(gòu)成重大風(fēng)險。

　　黑客在存放昆士蘭州供水運(yùn)營商客戶數(shù)據(jù)的服務(wù)器上潛伏達(dá)9個月，再次凸顯出關(guān)鍵基礎(chǔ)設(shè)施存在嚴(yán)重的網(wǎng)絡(luò)安全隱患。

　　作為澳大利亞國有供水運(yùn)營商，SunWater公司負(fù)責(zé)運(yùn)營19處主要水壩、80個泵站及總長1600英里的輸水管道。

　　據(jù)澳大利亞昆士蘭州審計署日前發(fā)布的年度財務(wù)審計報告，SunWater公司遭遇入侵長達(dá)9個月，自己卻始終毫無察覺。

　　雖然報告中沒有直接點名，但澳大利亞廣播公司就此事向當(dāng)局發(fā)出質(zhì)詢，確認(rèn)受害者正是SunWater。

　　該事件發(fā)生于2020年8月至2021年5月之間，攻擊者設(shè)法侵入了用于存儲供水商客戶信息的Web服務(wù)器。

　　黑客似乎對竊取敏感數(shù)據(jù)并不感興趣，只是植入了自定義的惡意軟件，以增加某個在線視頻平臺的訪問量。

　　審計報告還提到，沒有證據(jù)表明攻擊者竊取過任何客戶或財務(wù)信息，相關(guān)漏洞目前已得到修復(fù)。

　　報告顯示，攻擊者入侵的是較為陳舊、存在安全缺陷的系統(tǒng)版本，現(xiàn)代且更加安全的Web服務(wù)器則沒有受到影響。

　　報告還指出該供水商在賬戶安全方面實踐不足的問題，例如沒能做到僅為用戶分配完成工作所必需的最低訪問權(quán)限。

　　事實上，SunWater公司中有多個賬戶能夠訪問多個系統(tǒng)，大大增加了單點入侵的風(fēng)險。

　　這是個普遍性問題

　　審計人員檢查了澳大利亞六個水務(wù)部門的內(nèi)部控制系統(tǒng)，發(fā)現(xiàn)其中三個存在缺陷（但未明確公布是哪三個）。

　　報告主要強(qiáng)調(diào)了幾個普遍問題，例如缺乏保護(hù)金融交易免受BEC欺詐影響的保障措施、IT系統(tǒng)中存在大量漏洞等。

　　總之，審計人員發(fā)現(xiàn)各大公共實體已經(jīng)根據(jù)去年的建議采取了積極調(diào)整，但仍需要：

　　實施安全威脅檢測與報告系統(tǒng)

　　在面向公眾的一切外部系統(tǒng)上啟用多因素身份驗證

　　設(shè)定最少八個字符的密碼長度

　　組織安全意識培訓(xùn)

　　實施關(guān)鍵安全漏洞識別流程

　　這份審計報告還提到，“我們再次發(fā)現(xiàn)涉及信息系統(tǒng)的多個控制缺陷。面對COVID-19疫情影響給實體工作環(huán)境帶來的持續(xù)變化，網(wǎng)絡(luò)攻擊仍然構(gòu)成重大風(fēng)險。”

　　雖然財務(wù)損失確實可怕，例如2017年針對某英國供水運(yùn)營商的襲擊事件曾造成64.5萬美元損失，但真正令人膽寒的在于網(wǎng)絡(luò)攻擊給公共安全帶來的威脅。

　　2021年2月，某黑客獲得了佛羅里達(dá)州奧茲馬水處理系統(tǒng)的訪問權(quán)限，并試圖增加該公共供水網(wǎng)絡(luò)中的氫氧化鈉濃度。

　　此事給美國政府敲響了警鐘，敦促他們通過有條不紊的升級措施保護(hù)這些存在感不強(qiáng)、但卻關(guān)乎民眾日常生活的關(guān)鍵基礎(chǔ)設(shè)施。