网络安全方面的经验法则是,你的系统越敏感,你就越不想让它接触互联网。但随着美国采取行动限制Covid-19的传播,网络安全措施对关键基础设施、情报机构以及任何其他拥有高度安全网络的地方的员工来说,都是一项艰巨的技术挑战。在某些情况下,在家工作根本不是一个选择。
拥有特别敏感的数据或操作的公司通常会限制远程连接,将网络分割以限制黑客进入,有时甚至会将最重要的机器与互联网完全断开连接。上周晚些时候,美国政府的网络安全和基础设施安全局(safe)向关键基础设施公司发出了一份建议,要求它们为Covid-19扩散时的远程工作场景做好准备。这意味着检查他们的虚拟专用网络是否打了补丁,实现多因素身份验证,沐鸣开户测速并测试远程访问场景。
但网络安全顾问们说,事情并不总是那么简单。他们的客户包括电力公司、石油和天然气公司以及制造公司。对于他们许多最重要的客户,甚至对于情报机构来说,远程工作和安全不能混为一谈。
Joe Slowik说:“公司已经意识到在家办公是非常困难的。”在加入以关键基础设施为重点的安全公司Dragos之前,他曾在能源部领导计算机紧急响应小组。“这应该是一个相当好的警钟。你需要找出一种方法,如果个人不能物理访问控制系统的环境服务,不能停止,如电力、水、和污水或类似的服务,确保连续行动面对的环境中你可能会冒着员工的生活如果他们继续上班进办公室。”
对于许多工业网络来说,安全的最高标准是“空气间隙”,即连接到物理设备的软件内部密室与不那么敏感的、联网的IT系统之间的物理断开。但是,除了受到高度管制的核电公司外,很少有私营企业实施了实际的空气缺口。许多公司反而试图限制他们的IT网络和所谓的OT或操作技术网络之间的连接。OT或操作技术网络是一种工业控制系统,在这种系统中,数字计算机的破坏可能会产生危险的影响,比如让黑客进入电力公司的断路器或制造车间的机器人。
这些受限的连接为黑客和远程工作人员创造了瓶颈。Rendition InfoSec的创始人和安全顾问Jake Williams描述了一个制造客户,沐鸣开户测速他小心地将IT和OT系统分开。只有连接敏感制造控制系统和非敏感IT系统的“跳箱”服务器连接它们。这些跳箱运行非常有限的软件,以防止它们成为黑客的入侵。但它们同时也只支持一个连接,这意味着公司的IT管理人员发现自己在争夺访问权限。
Williams说:“当管理员试图工作和登录时,他们会互相碰撞。”“这些用来在紧急情况下促进安全远程访问的跳箱,并不是用来支持这种每个人都在远程执行日常维护和操作的情况。”
然而,对于最关键的基础设施,比如发电厂和炼油厂,远程工作不仅仅会导致技术混乱。FireEye的安全顾问克里斯•斯特伦克(Chris Sistrunk)说,对很多员工来说,这往往是不可能的。斯特伦克曾在电力公司Entergy担任电气工程师。斯特伦克说:“没有办法完全远程运行这些工厂。”“你不用在家工作。必要的工程师和操作员将一直24/7在那里。”
Dragos的Slowik说,在这些情况下,公司必须设法限制他们最关键的运营团队的生物暴露,以防止他们被隔离——这通常是说起来容易做起来难,因为他们可以在业余时间自由地与潜在的感染者接触。“这是一个非常敏感的话题,”斯洛维克说。“你需要他们在办公室里,你只能在一定程度上限制他们——因为我们不是中国——那么如何平衡呢?”
公用事业公司已经在努力实现这一平衡。代表美国电力公司的非营利组织爱迪生电力研究所(Edison Electric Institute)今年2月警告称,多达40%的电力公司员工可能因病在家、被隔离或在家照顾生病的亲属。电力新闻网站UtilityDive报道称,全国各地的许多公用事业公司都在限制出行,将尽可能多的员工调到远程工作,以视频会议的形式安排会议,并加强卫生措施。
情报机构和政府的其他部分将机密信息封锁在互联网之外,这带来了一个更加严重的问题。美国国家安全局的工作人员被严格禁止在家工作,情报界消息人士告诉《连线》杂志,尽管目前大流行,美国国家安全局的政策并没有改变。工作人员被要求限制不必要的旅行,但他们没有收到全组织范围内的指示,说明他们的远程工作政策如何可能转变为针对Covid-19的政策,即使是针对年龄较大的员工或那些健康状况可能更危险的员工。相反,沐鸣开户测速他们被要求与社会保持距离,并被告知,如果他们因为可能接触到病毒而被迫自我隔离,他们可以自由地休长达两周的带薪行政假。
前美国国家安全局分析员杰克·威廉姆斯说,其结果可能是在机密环境中工作的政府工作人员中病毒传播率更高。他把自己在美国国家安全局(NSA)位于佐治亚州戈登堡(Fort Gordon)的前哨基地工作的经历描述为一间开放式办公室。员工很少打电话请病假,因为他们的任务对时间很敏感。许多人轮班工作,一周7天,一天24小时,坐在同一张办公桌前。“你坐在别人坐过的桌子前,打字,咳嗽,”威廉姆斯说。“我不知道他们要做什么,但我不明白为什么它不会像野火一样蔓延。”
与医疗、食品服务、零售、运输、卫生和工厂工人等许多其他职业一样,这种不可避免的风险让我们正确看待这个问题:远程工作可能会给高度安全的工作场所带来一些严重的挑战。但是对于联邦工作人员和电网运营商来说,像其他许多敏感组织一样,这是一种不可能的奢侈