印度消息!
7月18日,印度最大核电站——库丹库拉姆核电站,近1.9万份工程设计图、供应商信息和员工资料全部外泄。专家担心这些数据会威胁核电站安全,但运营方却拍胸脯说“没风险”。
先说说这批泄露的东西到底有多要命。
根据多家媒体披露,文件里包括3号和4号机组的通风系统设计图、冷却系统设计图、一个“公共控制室”的完整楼层布局、获批准的供应商名单、2024年印度核电公司与信实集团的联合设备检查会议记录,还有设备照片。
更让人捏把汗的是,这已经不是库丹库拉姆第一次出网络安全的事了。2019年,这个核电站的管理网络就发现过跟朝鲜黑客组织有关的恶意软件。当时印度核电公司也是拍胸脯说“没事”,说管理系统和控制系统是隔离的。结果呢?六年之后又来一次,而且这次直接丢了图纸。
好,问题来了——核电站运营方怎么说?
印度核电有限公司的回应很有意思。他们说外泄的文件只跟承包商建造的通用服务设施有关,不涉及核电站的安全和安保系统。
这话你信吗?
通风系统是“通用服务设施”?冷却系统是“通用服务设施”?控制室的楼层布局是“通用服务设施”?任何一个对核电站运行有点常识的人都知道,这些系统虽然不是反应堆核心,但它们是核电站安全运行不可或缺的组成部分。冷却系统出问题,堆芯过热;通风系统被破坏,放射性物质可能泄漏。你说这些跟安全没关系?
这跟2019年的套路一模一样——先否认,再轻描淡写,最后不了了之。当年发现朝鲜恶意软件的时候,官员一开始也是说“不可能”,后来实在瞒不住了才承认确有此事。
这种鸵鸟心态才是最可怕的。
再说信实集团。这家公司2018年拿到了3号和4号机组的基建合同。数据放在第三方数据中心Yotta的服务器上。5月29日Yotta就发现了可疑活动并终止了。但信实直到6月底才通知Yotta说“外部威胁行为者声称数据被泄露了”。一个月的时间差,这中间发生了什么?为什么没有第一时间上报?到现在也没人给个交代。
印度电子和信息技术部下属的计算机应急响应小组已经启动调查。但说实话,调查归调查,数据已经出去了。暗网上的东西一旦公布,就等于泼出去的水,收不回来的。
这件事放在更大的背景下看,问题更严重。
库丹库拉姆核电站是什么分量?它是印度最大的核电站,目前1号和2号机组已经运行,3号、4号、5号、6号都在建设中。全部建成后总装机容量将达到6000兆瓦。这是莫迪政府扩大核能计划的核心项目。换句话说,印度把自己最大的能源野心,交到了一个连数据都守不住的承包商手里。
更让人担忧的是,这起事件暴露的不只是一家公司的管理漏洞,而是整个印度关键基础设施的网络安全生态。
印度数据安全委员会和网络安全公司Seqrite去年发布的一份报告显示,在接受调查的204家印度机构中,大约73%根本不知道自己是否遭受过网络攻击,57%缺乏基本的网络安全防护措施。连有没有被攻击都不知道,你指望他们防住“World Leaks”这种级别的勒索组织?
这不是危言耸听。核电站的数据泄露,跟普通公司丢点客户资料完全是两个概念。普通数据泄露是经济损失,核电站数据泄露可能是国家安全层面的灾难。
图纸外泄意味着什么?意味着潜在的恐怖分子、敌对势力、甚至是勒索组织手里多了一张精确的攻击地图。他们知道通风管道怎么走,知道冷却系统在哪儿,知道控制室长什么样,知道谁在供应设备、哪些设备容易做手脚。
运营方说“不涉及核心系统所以没事”,这种逻辑本身就是最大的安全隐患。现代核安全从来就不是只盯着反应堆核心那一亩三分地。辅助系统出问题,核心系统照样跟着完蛋。供应链被渗透,设备被动手脚,这种攻击比直接炸反应堆隐蔽得多,也致命得多。
数据已经泄露了,图纸已经在暗网上了。接下来会发生什么,没人知道。但有一点是肯定的:当你的敌人手里拿着你家的户型图,你还在说“门锁没问题”,那不是自信,那是愚蠢。
印度的核电扩张计划不会停,莫迪政府的能源野心也不会收。但如果连最基本的数据安全都守不住,连承包商的管理都管不好,连出了事都不敢直面问题——那下一次,可能就不只是图纸泄露这么简单了。
