澳大利亞地方審計署的年度財務審計報告，國有供水商SunWater遭到網絡入侵長達9個月，自己卻始終毫無察覺；

　　被入侵服務器存放了客戶數據，但攻擊者似乎無意查看，只是植入了一個視頻刷量的惡意軟件；

　　年審報告稱，再次發現多個供水商信息系統存在控制缺陷，網絡攻擊仍然構成重大風險。

　　黑客在存放昆士蘭州供水運營商客戶數據的服務器上潛伏達9個月，再次凸顯出關鍵基礎設施存在嚴重的網絡安全隱患。

　　作為澳大利亞國有供水運營商，SunWater公司負責運營19處主要水壩、80個泵站及總長1600英里的輸水管道。

　　據澳大利亞昆士蘭州審計署日前發布的年度財務審計報告，SunWater公司遭遇入侵長達9個月，自己卻始終毫無察覺。

　　雖然報告中沒有直接點名，但澳大利亞廣播公司就此事向當局發出質詢，確認受害者正是SunWater。

　　該事件發生于2020年8月至2021年5月之間，攻擊者設法侵入了用于存儲供水商客戶信息的Web服務器。

　　黑客似乎對竊取敏感數據并不感興趣，只是植入了自定義的惡意軟件，以增加某個在線視頻平臺的訪問量。

　　審計報告還提到，沒有證據表明攻擊者竊取過任何客戶或財務信息，相關漏洞目前已得到修復。

　　報告顯示，攻擊者入侵的是較為陳舊、存在安全缺陷的系統版本，現代且更加安全的Web服務器則沒有受到影響。

　　報告還指出該供水商在賬戶安全方面實踐不足的問題，例如沒能做到僅為用戶分配完成工作所必需的最低訪問權限。

　　事實上，SunWater公司中有多個賬戶能夠訪問多個系統，大大增加了單點入侵的風險。

　　這是個普遍性問題

　　審計人員檢查了澳大利亞六個水務部門的內部控制系統，發現其中三個存在缺陷（但未明確公布是哪三個）。

　　報告主要強調了幾個普遍問題，例如缺乏保護金融交易免受BEC欺詐影響的保障措施、IT系統中存在大量漏洞等。

　　總之，審計人員發現各大公共實體已經根據去年的建議采取了積極調整，但仍需要：

　　實施安全威脅檢測與報告系統

　　在面向公眾的一切外部系統上啟用多因素身份驗證

　　設定最少八個字符的密碼長度

　　組織安全意識培訓

　　實施關鍵安全漏洞識別流程

　　這份審計報告還提到，“我們再次發現涉及信息系統的多個控制缺陷。面對COVID-19疫情影響給實體工作環境帶來的持續變化，網絡攻擊仍然構成重大風險?！?/p>

　　雖然財務損失確實可怕，例如2017年針對某英國供水運營商的襲擊事件曾造成64.5萬美元損失，但真正令人膽寒的在于網絡攻擊給公共安全帶來的威脅。

　　2021年2月，某黑客獲得了佛羅里達州奧茲馬水處理系統的訪問權限，并試圖增加該公共供水網絡中的氫氧化鈉濃度。

　　此事給美國政府敲響了警鐘，敦促他們通過有條不紊的升級措施保護這些存在感不強、但卻關乎民眾日常生活的關鍵基礎設施。