Kritik Altyapı Güvenliği
Genel Müfettiş Raporu, Kritik Siber Güvenlik Risklerine Sahip 97 Su Sistemini Ortaya Çıkardı
Chris Riotta (@chrisriotta) •
18 Kasım 2024
Yeni bir federal rapora göre, 100 milyondan fazla Amerikalı, bilgisayar korsanlarının “hizmeti kesintiye uğratmasına veya içme suyu altyapısında onarılamaz fiziksel hasara neden olmasına” olanak tanıyan siber güvenlik kusurlarına sahip içme suyu sistemlerine güveniyor.
Ayrıca bakınız: Kurumsal Tarayıcılar İçin Kesin Kılavuz
Çevre Koruma Ajansı’nın genel müfettişi, ülke çapında 193 milyon kişiye hizmet veren 1.000’den fazla içme suyu sistemini inceledi ve 26,6 milyon insanı etkileyen kritik veya yüksek riskli siber güvenlik açıklarına sahip 97 sistemi belirledi. 82,7 milyonun üzerinde hizmet veren diğer 211 sistem ise “dışarıdan görülebilen açık portallar” gibi sorunlar nedeniyle işaretlendi.
Rapor, ABD çapında su hizmetlerinde bir günlük bir kesintinin, halk sağlığı endişelerine ek olarak “ekonomik faaliyette 43,5 milyar doları tehlikeye atabileceği” konusunda uyarıyor.
Genel müfettiş ayrıca EPA’nın su ve atık su sistemi sahipleri ve operatörlerinin potansiyel ihlalleri veya güvenlik açıklarını bildirecek bir siber güvenlik olayı raporlama sisteminin bulunmadığını da tespit etti.
Raporda, “Bu zorluk varsayımsal değil” uyarısında bulunarak, su sistemlerinde yakın zamanda yaşanan yüksek profilli olayların “siber güvenlik zayıflıklarını ve fiziksel saldırılara karşı zayıf noktaları ele almak için gereken aciliyeti gösterdiğine” dikkat çekildi.
Rapor, ülkedeki en büyük su kuruluşunun Ekim ayında müşteri portalının kapatılmasına yol açan bir siber güvenlik olayıyla karşı karşıya kalmasından sonra geldi. 14 eyalette ve 18 askeri tesiste 14 milyondan fazla kişiye hizmet veren ABD’nin en büyük düzenlenmiş su ve atık su kuruluşu olan New Jersey merkezli American Water, bilgisayar ağlarında ve sistemlerinde bir siber olaydan kaynaklanan izinsiz faaliyet tespit ettiğini bildirdi (bkz.: ABD’nin En Büyük Su Hizmeti Siber Güvenlik Olayından Etkilendi).
Eylül ayında FBI ve İç Güvenlik Bakanlığı, federal kolluk kuvvetlerinin Kansas’ın Arkansas Şehri’ndeki bir su arıtma tesisine yönelik bir siber saldırıyı araştırdığını da açıklamıştı.
EPA ve Siber Güvenlik ve Altyapı Güvenliği Ajansı dahil olmak üzere federal kurumlar, su ve atık su idarelerini artan tehditlere yanıt olarak siber güvenlik savunmalarını güçlendirmeye çağırdı (bkz: Yeni Kılavuz ABD Su Sektörünü Siber Dayanıklılığı Artırmaya Çağırıyor). Güvenlik uzmanları, sektörün karmaşıklığının (çeşitli devlet ve yerel düzenlemelerle yönetilen özel sektör ve kamu kuruluşlarının bir karışımını kapsayan) uyumlaştırılmış siber standartlara ulaşmayı özellikle zorlaştırdığını söylüyor.
Birçok küçük ve orta ölçekli su işletmesi, karmaşık tehditlere karşı koyabilecek özel siber güvenlik ekipleri oluşturacak kaynaklardan yoksundur. Biden yönetimi, Missouri, Arkansas ve Iowa’daki başsavcıların, önlemlerin yetersiz kaynaklara sahip kamu hizmetleri ve onların müşterileri üzerinde mali yük oluşturacağını savunmasının ardından bu yılın başlarında federal olarak zorunlu güvenlik değerlendirmelerine ilişkin planlardan vazgeçti (bkz: US EPA Su Sistemlerine İlişkin Siber Güvenlik Değerlendirmelerini Nixes).
Genel müfettiş, su sistemi güvenlik kusurları hakkında EPA’yı bilgilendirmeye çalıştığında, gözlemci, kurumun kendi raporlama sisteminden yoksun olduğunu, bunun yerine CISA’ya güvendiğini keşfetti. Raporda ayrıca genel müfettişin, bir siber güvenlik olayı durumunda EPA’nın kamu ve özel koordinasyonu ve müdahale planlarıyla ilgili belgelenmiş politika veya prosedürleri bulamadığı belirtildi.
Siber güvenlik firması NCC Group’un endüstri başkanı Sean Arrowsmith, “Vurgulanan konulardan biri, güvenlik açığı raporlamasının nasıl ve nerede gerçekleştiğidir” dedi. “Su gibi endüstriler için olayları rapor edecek bir organın desteğine sahip olmak ve olay verilerinin diğerleri arasında paylaşılması önemlidir, böylece sektör genelinde dirençliliğe yönelik kolektif bir yaklaşım olur.”
EPA yorum talebine yanıt vermedi.