2023年3月3日,美国环境保护署(“EPA”)发布了一份备忘录要求各州评估公共供水系统(“PWSs”)使用的操作技术的网络安全“在进行PWS卫生调查或通过其他州计划时。”EPA备忘录“解释了与卫生调查相关的监管要求,要求当PWS使用操作技术(“OT”),如工业控制系统(“ICS”),作为卫生调查任何所需组件的设备或操作的一部分时,该PWS的卫生调查必须包括对该操作技术的网络安全充分性的评估,以生产和分配安全饮用水。”具体来说,“EPA的解释澄清了审查PWS的‘设备’和‘操作’的监管要求必须包括审查网络安全实践和控制,以保持PWS操作技术的完整性和持续功能,这可能会影响向客户提供的水的供应或安全。”
EPA规定,在对PWSs进行卫生调查期间,各州必须:
- 如果“PWS使用ICS或其他[OT]作为卫生调查任何必要组成部分的设备或操作的一部分[;]”,则评估生产和分配安全饮用水的OT网络安全性的充分性
- 利用州政府的权力要求PWS解决任何发现的重大缺陷。
重大缺陷。在网络安全方面,EPA指出,“重大缺陷应包括缺乏实践或控制,或存在漏洞,这些漏洞有被直接或间接利用的高风险,危害饮用水处理或分配中使用的操作技术。”
将网络安全评估纳入PWS卫生调查的方法。EPA的备忘录提供了各州可用于评估PWSs网络安全的不同方法,包括:
- 网络安全实践的自我评估或第三方评估;
- 卫生调查期间网络安全实践的国家评估;或
- 供水系统网络安全备选方案。
EPA技术援助。为了支持实施,EPA的备忘录参考了pws和各州的各种资源,例如:
- 万博体育app手机登录指导文件-连同其备忘录,环境保护署出版了一份指导文件,万博体育app手机登录在PWS卫生调查中评估网络安全,征求公众意见,“包括可选的网络安全实践清单”,以(1)评估PWS的网络安全,(2)识别差距,包括潜在的重大缺陷,以及(3)选择适当的补救措施。EPA的清单借鉴了美国网络安全和基础设施安全局的清单跨行业网络安全绩效目标。
- 培训-从今年开始,环保署将为pws和各州提供“在卫生调查中评估网络安全”的培训。
- 技术援助-环境保护局建立了一个水务部门网络安全技术援助计划,其中PWS“可以就PWS卫生调查中的网络安全问题提交问题或要求咨询主题专家”。EPA指出,该技术援助“不会成为报告网络事件的紧急线路,也不会作为网络事件响应或恢复工作的资源。”“此外,EPA打算通过其水务部门网络安全评估项目。该备忘录中包含了注册该计划的链接。
展望未来。EPA的备忘录要求各州解决PWSs的网络安全问题白宫发布了新的国家网络安全战略,呼吁在关键领域使用最低网络安全要求,而不是自愿措施,以加强国家安全和公共安全。EPA对网络安全的关注与战略向更注重监管的网络安全方法的转变是一致的。