ABD Çevre Koruma Ajansı Genel Müfettiş Ofisi’nin (OIG) yeni bir raporuna göre, yaklaşık 27 milyon Amerikalıya yüksek riskli veya kritik siber güvenlik açıklarına sahip içme suyu sistemleri hizmet veriyor.
EPA OIG raporuna göre, 83 milyon Amerikalıya daha, “dışarıdan görülebilen açık portallara sahip” olarak tanımlanan orta veya düşük şiddette güvenlik açıklarına sahip sistemler tarafından hizmet veriliyor.
OIG soruşturması, Ağustos ayında yayınlanan Devlet Sorumluluk Ofisi (GAO) raporu, Mayıs ayında EPA uyarısı ve güvenlik araştırmacılarının Rus tehdit gruplarının ve diğer yabancı düşmanların suyu hedef aldığı yönündeki uyarılarının ardından, ABD su sistemlerinde yetersiz siber güvenliği desteklemeye yönelik en son çabadır. sistemler.
Su ve atık su sistemleri, siber saldırılara karşı en savunmasız kritik altyapı sektörlerinden bazılarıdır; topluluklar genellikle günlerce veya daha uzun sürebilecek kesintilere hazırlıksızdır. Neyse ki, American Water Works ve Arkansas City, Kansas’a yapılan son siber saldırıların operasyonel teknoloji (OT) ağlarına ulaşmadığı görüldü.
OIG raporunda, “Kötü niyetli aktörler, pasif değerlendirmemizde tespit ettiğimiz siber güvenlik açıklarından yararlanırsa, hizmeti kesintiye uğratabilir veya içme suyu altyapısında onarılamaz fiziksel hasara neden olabilirler” dedi.
Su Sistemleri Ağları Güvenlik Açıkları Açısından Tarandı
OIG araştırması, 193 milyon kişiyi veya ABD nüfusunun yaklaşık %56’sını kapsayan 50.000 veya daha fazla kişiye hizmet veren, toplamda 1.062 sistem olan içme suyu sistemlerini inceledi. 8 Ekim’de yapılan güvenlik açığı taramasında 97 yüksek riskli su sistemi ve 211 orta riskli su sistemi tespit edildi.
Raporda, güvenlik açığı testlerinin, içme suyu sistemlerinin “halka açık ağlarını taramak için çok katmanlı, pasif bir değerlendirme aracından oluştuğu” belirtildi.
OIG, “Sonuçlar, bir saldırganın işlevselliği bozmak, hizmet kaybına veya hizmet reddine neden olmak veya müşteri veya özel bilgilerin çalınmasını kolaylaştırmak için kullanabileceği siber güvenlik açıklarını belirledi” dedi.
OIG, ilk önce ele alınması gereken en yüksek risk bulgularına öncelik vermek için doğrusal olmayan bir puanlama algoritmasının kullanıldığını söyledi. Bulgular, sorunun etkisini, kuruluşa yönelik riski ve sorunun gözlemlenme sayısını dikkate alan bir puana göre sıralanır. Riskler beş kategoriye göre gruplandırıldı: e-posta güvenliği; BT hijyeni; güvenlik açıkları; düşmanca tehditler ve kötü niyetli faaliyetler.
Raporda, “bir coğrafi bölgede yer alan birçok bileşen veya tesisten oluşabilen içme suyu sistemlerinin karmaşıklığına dikkat çekildi. Bu tesisler içme suyunun toplanması, pompalanması, arıtılması, depolanması veya dağıtımı için kullanılan binaları ve altyapıyı içerebilir.”
Bu karmaşıklığın bir sonucu olarak, 75.000’den fazla IP ve 14.400 alan adı potansiyel güvenlik açıklarına karşı analiz edildi.
Raporlama ve Olay Müdahale Sorunları da Bulundu
OIG soruşturması ayrıca su sistemlerindeki siber güvenlik olaylarının raporlanması ve bunlara yönelik müdahalelerin koordine edilmesinde de zayıflıklar buldu.
Raporda, “EPA’yı siber güvenlik açıkları hakkında bilgilendirmeye çalışırken, EPA’nın, su ve atık su sistemlerinin EPA’yı siber güvenlik olaylarını bildirmek için kullanabileceği kendi siber güvenlik olay raporlama sistemine sahip olmadığını gördük” denildi.
Bunun yerine kurum, olay raporlama konusunda Siber Güvenlik ve Altyapı Güvenliği Ajansına (CISA) güveniyor.
OIG, “Ayrıca, EPA’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı ve sektöre özel acil durum müdahalesi, güvenlik planları, ölçümler ve hafifletme stratejileriyle ilgilenen diğer federal ve eyalet yetkilileriyle koordinasyonuyla ilgili belgelenmiş politika ve prosedürler bulamadık” dedi. .
Su Altyapısı Yasasına Uyum Zorlukları
Raporda ayrıca Güvenli İçme Suyu Yasası’nın kapsamlı bir revizyonu olan Amerika’nın Su Altyapısı Yasası 2018’e (AWIA) uyum sağlamanın zorlu geçmişi de incelendi.
AWIA’nın 2013. Bölümü, fiziksel ve siber altyapının dayanıklılığı, izleme uygulamaları ve kötü niyetli eylemlere veya doğal tehlikelere yanıt verme stratejileri de dahil olmak üzere risk ve dayanıklılık değerlendirmelerini ve acil durum müdahale planlarını geliştirmek veya güncellemek için 3.300’den fazla kişiye hizmet veren topluluk su sistemlerini gerektirmektedir. Bölüm 2013 ayrıca su sistemlerinin, sistemin risk ve dayanıklılık değerlendirmesini ve acil müdahale planını tamamladığını EPA’ya sertifikalandırmasını gerektiriyor.
Ancak son iki yılda hem OIG hem de EPA’dan elde edilen bulgular, bu gerekliliklere uyumun hala eksik olduğunu ortaya çıkardı.
İlgili