Kritik Altyapı Güvenliği
Uzmanlar ve Milletvekilleri Uyardı: Düzenlenmeyen Barajlardaki Saldırılar Kitlesel Kayıplara Neden Olabilir
Chris Riotta (@chrisriotta) •
18 Nisan 2024
Bir bilgisayar korsanı Amerika’nın barajlarının kontrolünü ele geçirerek savunmasız topluluklarda sellere ve kaosa neden olabilir mi? Siber güvenlik analistleri ve önde gelen kanun koyucular bunun mümkün olduğu konusunda uyarıyorlar.
Ayrıca bakınız: İsteğe Bağlı | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan’ın Güvenli Siber Gelecek Mantrası
Kritik su altyapısına yönelik siber güvenlik tehditleriyle ilgili Nisan ayında yapılan bir duruşmada, D-Ore’dan Senatör Ron Wyden, endişelerini dile getirmek için şaşırtıcı derecede kıyamet çerçevesini kullandı.
Senatör, “Barajlardan sorumlu alt komitenin başkanı olarak, Kuzeybatı Pasifik’teki küçük bir kasabanın nehrin yukarısındaki özel bir baraja yönelik siber saldırı nedeniyle yok edildiğine dair bir haberle uyanmak istemiyorum” dedi.
Siber güvenlik alanındaki etkili sesler genellikle alarm verici senaryolardan kaçınarak tehditlere karşı pratik ve eyleme dönüştürülebilir yanıtları tercih ediyor. Ancak Federal Enerji Düzenleme Komisyonu denetimi altındaki barajların çoğunluğunun kapsamlı siber denetimlerden geçmemiş olması ve ülke çapında 2.500 barajı denetlemekle görevli yalnızca dört tam zamanlı çalışanın olması nedeniyle uzmanlar, sektörün kayıplarla sonuçlanabilecek siber saldırılara karşı savunmasızlığı konusunda Wyden ile aynı fikirde. insan hayatının.
Savunma Bakanlığı su siber risk danışmanı ve siber risk firması CyberSaint’in inovasyon sorumlusu Padriac O’Reilly, Information Security Media Group’a “Burada insan hayatı ve güvenliği söz konusu” dedi. “Operasyonel teknoloji, barajların yakınındaki nüfus merkezleri, kritik enerji üretim kapasitesi – tüm bunlar, siber risk yönetiminin olgunluğuna ilişkin bilgi eksikliği ile birleştiğinde, oldukça kaygı verici bir tablo ortaya çıkarıyor.”
Raporlar ülke çapında baraj altyapısında büyüyen bir krizin ortaya çıktığını ortaya koyarken, Amerika Birleşik Devletleri’ndeki 91.827 barajın yalnızca %5’i federal düzenleme kapsamına giriyor. Ortalama bir baraj yaklaşık 50 yaşında ve “yüksek tehlike” olarak sınıflandırılan yaklaşık 2.200 baraj, yani başarısızlıkları ölümle sonuçlanabilir, kötü veya yetersiz durumda kalıyor.
ABD barajlarının büyük çoğunluğunun özel sektör tarafından işletilmesine rağmen FERC, ticari baraj işletmecilerine yönelik siber güvenlik gereksinimlerini 2016 yılından bu yana güncellemedi. Baraj sektörü risk yönetimi kurumu olarak hizmet veren Siber Güvenlik ve Altyapı Ajansı da baraj sektörüne atıfta bulunuyor – Riskleri azaltmak, koordinasyonu geliştirmek ve güvenliği güçlendirmek için en son stratejik rehber olan 2015’ten özel plan.
CISA’nın eski siber tehdit analizi şefi ve kimlik yönetimi platformu SailPoint’in CISO’su Rex Booth, tüm su endüstrisinin genellikle siber güvenlik açısından “en az güvenli sektörler arasında” kabul edildiğini söyledi.
Booth, ISMG’ye ABD çapındaki baraj ve su sistemi operatörlerinin “tipik olarak geleneksel mühendislik ve operasyonel teknoloji etrafında merkezlenen kurumsal kültürlere sahip olduğunu” söyledi.
Booth, “Su sektörünün siber güvenlik temellerini eşit seviyeye getirmek için federal desteğe acilen ihtiyacı var” dedi. “Bunu kendi başlarına yapacak bütçeleri veya uzmanlıkları yok ve riski göz ardı edemeyecek kadar çok şey var.”
Baraj siber güvenlik duruşması sırasında Wyden, FERC’nin önümüzdeki on yıl içinde kalan barajları denetleyememesinin nedeni olarak finansman ve personel eksikliğini gösterdiğini bildirdi. Ayrıca Wyden, komisyonun siber güvenlik kurallarının yalnızca internet üzerinden uzaktan yönetilen barajlar için geçerli olduğunu ve şirketlerin saha içi operatörlere gerek duymadan para tasarrufu yapmalarına olanak tanıdığını belirtti.
Wyden, “Baraj operatörü için bu maliyet tasarrufları önemli ölçüde daha büyük siber risklere yol açıyor” dedi. “FERC, özel sektör tarafından işletilen barajların siber güvenliğinin etkili bir düzenleyicisi olmak için ihtiyaç duyduğu kaynaklara sahip değil.”
“Bu, Kongre’nin şimdi ele alması gereken bir sorundur” diye ekledi.
Komisyonun enerji projeleri ofisi başkanı Terry Turpin’e göre FERC, önümüzdeki dokuz ay içinde tamamlanması beklenen baraj sektörü için yeni siber güvenlik kılavuzu geliştirme sürecinde. Turpin, Nisan ayında bir Senato panelinde komisyonun sektöre yönelik gelecek rehberini şekillendirmeye yardımcı olmak için İç Güvenlik Bakanlığı’nın yakın tarihli bir raporunu gözden geçirdiğini ifade etti. Rapor, Microsoft’u, Rus devlet korsanlarının karmaşık olmayan bir bilgisayar korsanlığı tekniği kullanarak küresel bilgi işlem devinin üst düzey yöneticilerinin gelen kutularına başarılı bir şekilde sızmasının ardından eleştirdi (bkz: Microsoft’un Son Hack’i Büyük Güvenlik Kaygılarına Yol Açtı).
Turpin’e göre pek çok baraj işletmecisi şu anda Microsoft ürünlerini ve uygulamalarını kullanıyor. Barajın işlevselliği modernleştikçe, uzmanlar, sektördeki operasyonel teknolojiye dokunan internete açık hizmetlerin, kesintiye veya ciddi zarara neden olmayı amaçlayan ulus devlet aktörleri için giderek daha çekici hedefler haline geleceğini söylüyor.
Demokrasileri Savunma Vakfı’nın Siber ve Teknolojik Araştırmalar Merkezi’nin kıdemli direktörü Mark Montgomery, “Baraj sektörünün siber güvenliği, hem barajların sahibi olan ve işleten kuruluşlar hem de onları denetleyen federal kurumdaki kaynakların yetersiz olması nedeniyle risk altındadır.” Teknoloji İnovasyonu, ISMG’ye söyledi. “Barajlar modernleştikçe ve daha otomatik sistemler ve kontroller uygulamaya başladıkça bu risk artıyor.”
Ulusal güvenlik uzmanları uzun süredir federal hükümete, otomobillerde ve uçaklarda güvenliği zorunlu kıldığı gibi kritik altyapı sektörlerinde de siber güvenlik talimatlarını uygulamaya çağırıyordu. Bazıları ayrıca ulusal su barajı altyapısına yapılacak bir saldırının halk sağlığını ve güvenliğini tehdit edebileceği ve su kirliliği, veri hırsızlığı ve sistem kesintileri gibi ciddi operasyonel riskler oluşturabileceği konusunda uyardı.
Qualys Tehdit Araştırma Birimi siber tehdit direktörü Ken Dunham, ABD baraj altyapısına yapılan siber saldırıların neden olduğu operasyonel kesintilerin “temel hizmetleri durdurabileceğini ve potansiyel olarak ciddi sağlık acil durumlarına veya ölümlere yol açabileceğini” söyledi. “Ayrıca, eski sistemlerde operasyonel ve internet tabanlı teknolojiler arasında ayrım yapılmaması, barajların siber saldırılara karşı savunmasızlığını artırıyor.”
Wyden, FERC’i siber güvenlik standartlarının gelişimini hızlandırmaya çağırdı ve Kongre’yi, “aynı anda tek bir sektöre veya kuruma köstebek vurmak yerine” kritik altyapı sektörlerindeki kapsamlı siber güvenlik düzenlemelerinin eksikliğini gidermeye çağırdı.
Ulusal güvenlik uzmanı ve siber güvenlik firması CyberSheath’in CEO’su Eric Noonan’a göre, federal hükümet baraj operatörleri için minimum siber güvenlik gerekliliklerini zorla zorunlu kılana kadar sektör “iki yoldan biriyle sonuçlanan bir tırmanma yolunda” kalacak.
Noonan, birinci seçeneğin, hükümetin kapsamlı siber güvenlik önlemlerini zorunlu kılmasını ve bu talimatları uygulamak için FERC’yi finanse etmesini içerdiğini söyledi.
İkinci Seçenek?
“Hükümet harekete geçmezse kaçınılmaz olarak daha önce görülmemiş bir siber saldırıya maruz kalacağız… insanlar acı çekecek ya da ölecek” dedi. “Bunun olmasını beklememeliyiz.”