让我们设想一种“可能发生的小概率事件”——对美国电网的网络攻击。技术超群但心怀恶意的一群人,在阴暗的角落经年累月炮制出一款恶意软件,起个绰号叫“厄瑞玻斯”木马,凭此控制了美国东北地区的电网系统。他们确定谁还没有安装业界十年前就已熟知的防范网络攻击的硬件。
然后,在命中注定的一天,他们激活了恶意软件,导致50个电厂的机组因过载而烧毁,从芝加哥到纽约、华盛顿特区的广大范围陷入一片黑暗,涉及15个州9300万民众遭遇停电。尽管部分地区在24小时内恢复了供电,然而全面恢复整个电网尚需数周时间——美国遭受的经济损失总计达到2403亿美元,在最坏的情况下,损失或可上万亿美元。
这是劳埃德与剑桥大学风险研究中心联合发布的报告《商业停电》中假设的场景,反映了公用事业领域所面临的网络入侵正在快速增长。报告同时关注了颇具挑战性的问题——网络攻击的演化速度甚至超过相应的防御手段,如何投资公用事业使之能够免于网络攻击的威胁?
劳埃德并不想危言耸听。“厄瑞玻斯网络攻击致使供电瘫痪的场景是极端情况,不太可能会发生。该报告不是预言,本意不在于强调国家某些特定基础设施的脆弱性。”报告的作者称:“设计这种极端场景是为了测试保险从业者的一些假设,并强调一些应对此类事件的预案。”
然而,该报告也不是在编造纯粹想象中的威胁。使发电机组瘫痪的关键手段,最初是在2007年由爱达荷州国家实验室呈现的,实验还附带一段视频,展示如何使机组烧毁。这段视频当年一经CNN发布,发电机组的脆弱性就成为众多研究的对象,并引发了业界的一些举措。
接受"曙光攻击"测试的柴油发电机开始冒出黑烟,2007年
该方法被称为“曙光攻击”,它利用远程控制手段,高速连续地开关发电机组的旋转断路器,利用发电机自身的惯性使供电与负荷之间的相位角脱离同步,这将导致发电机过热,最终烧毁,引发火灾甚至爆炸。
参与“曙光攻击”防范的工程师在2013年撰文指出,一些硬件设备,如Cooper电力系统的iGR-933旋转设备隔离装置,或Schweitzer工程实验室的751A馈线保护继电器,可以监测异相位情况,使发电机免受其影响。伦敦劳埃德提出的场景假设“大多数公司已升级其变电所安全,但仍有10%左右的发电机仍然存在这种脆弱性。”
至于潜在的破坏者如何获取电站系统的控制权,报告列举了一些为人熟知的方法,包括“锁定一些电厂日常运维关键人员的电脑或个人电子设备;旨在削弱公司网络核心与控制系统的‘网络欺诈’攻击;黑客远程登录控制系统;以及对网络监控设施的物理入侵。”
劳埃德的报告强调,潜在的网络破坏者需要极其复杂和谨慎才能不受察觉地入侵,进而同时对多个发电机组实施攻击。“发电厂商非常了解系统遭受网络入侵的可能性,并已经部署了复杂严格的安全流程,人力以及系统架构,加以防范。”报告称,“通常,控制系统与外部通信系统之间由防火墙隔离;需要在外部通信和内部控制两个系统间传递的信息将接受严格的扫描和处置。”
即便如此,(美国)国土安全部产业控制系统网络紧急事件应对小组(ICS-CERT)还是备案了这种类型的入侵,利用诸如笔记本电脑和个人PC这种“网络主机”,运行公用事业控制系统以及SCADA(数据采集与监控)网络。去年末,ICS-CERT报告了多起类BlackEnergy恶意软件入侵渗透诸多电网、油气管线以及供水系统控制软件的案例。