HackerNews 编译,转载请注明出处:
纽约州发布了一系列针对全州供水和废水处理系统的网络安全法规提案。
州长凯茜·霍楚(Kathy Hochul)在7月22日的公开声明中宣布了这些提案。提案包含由纽约州卫生部(DOH)和纽约州环境保护部(DEC)分别制定的、针对水务管理公司的运营技术(OT)安全要求。
同时,纽约州公共服务部(DPS)发布了针对自来水公司、其他公用事业公司及有线电视公司的信息技术安全法规提案。
这些现已开放公众评议的拟议规则,旨在加强关键水务系统的网络弹性,以应对该领域日益增多的攻击。
各机构共同努力,协调统一了每套要求中的定义和条款,并尽量减少重复和冲突的规则。
这些法规旨在与包括美国环境保护署(EPA)和网络安全与基础设施安全局(CISA)在内的联邦机构发布的相关指南保持一致。
除法规外,环境设施公司(EFC)将建立一个新的资助项目,并为保障水务系统安全提供技术援助。
霍楚州长评论道:“针对关键基础设施的网络攻击可能对社区造成毁灭性影响,我们必须立即行动起来,以应对其他关键领域同样的紧迫性和严谨性来保卫我们的供水和废水处理系统。”她接着说:“这些新法规和资助项目反映了我们的承诺,即在帮助资源不足的实体实现现代化的同时,保护公众健康和安全。”
公众可在以下截止日期前提交评议:DEC的评议期至2025年9月3日,DOH至9月14日,DPS至9月14日。
一旦采用,受监管实体须在2027年1月1日前遵守DEC和DOH的法规,并在2026年1月1日前遵守公共服务委员会(PSC)的法规。
新要求内容概要
- 卫生部 (DOH)
- DOH规则适用于服务超过3300人的社区供水系统,其中对服务5万人的系统有特定条款。提案包括建立网络安全漏洞分析的要求。规则还概述了网络安全计划的基线要求。该计划必须能够履行监管报告要求、提供身份验证和访问管理、维护网络资产清单以及监控和记录网络活动等功能。所有适用的供水系统必须制定网络安全事件响应计划,并在事件发生后24小时内向DOH报告。此外,相关人员必须每三年至少接受一小时的网络安全培训。
- 环境保护部 (DEC)
- DEC条款适用于全州的废水处理设施。它们包含多项基线网络安全控制措施,包括符合最小权限原则的访问控制和身份验证程序。其他控制措施涉及密码安全、多因素认证(MFA)以及实施网络安全漏洞管理流程。废水处理设施还必须将OT系统与IT系统分离。必须制定事件响应计划,在24小时内口头向区域水务工程师报告事件,并在30天内提交书面报告。
- 公共服务部 (DPS)
- DPS规则适用于所有服务5万或以上客户的公用事业公司和有线电视公司。这些组织必须制定网络安全政策,该政策应实施数据屏蔽、多因素认证(MFA)和访问控制等措施,并包含应对网络攻击和从中恢复的计划。此外,受监管实体必须聘用一名首席信息安全官(CISO),由其每年向公司领导层报告网络安全准备状况。
水务领域威胁上升
专家近年来强调了水务领域日益增长的网络安全风险,威胁范围涵盖出于经济动机的组织到国家支持组织的破坏性攻击。
Semperis在2025年4月的一份报告发现,过去一年中,超过五分之三的美国和英国水电企业成为网络攻击的目标,其中大多数遭受了严重干扰。
2024年8月,美国政府问责署(GAO)敦促环境保护署(EPA)解决供水和废水处理系统面临的网络风险。GAO强调了该领域存在的重大安全风险,包括普遍存在的难以更新网络安全防护的老旧技术,以及OT与IT系统之间日益增长的连接性。
影响供水服务的重大事件包括2024年10月对泽西岛运营商American Water的攻击,该攻击扰乱了计费系统。
2024年9月,堪萨斯州阿肯色城报告其水处理设施遭遇网络安全事件,促使该设施暂时切换为手动操作模式。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
