Kritik Altyapı Güvenliği , Yönetişim ve Risk Yönetimi , Operasyonel Teknoloji (OT)
Biden Yönetimi, Fidye Yazılımları ve Diğer Olayların Yasal Müdahale Gerektirdiğini Söyledi
David Perera (@daveperera) •
3 Mart 2023
Siber güvenlik, ABD Çevre Koruma Dairesi’nin kamu su sistemlerinin federal olarak zorunlu kılınan periyodik güvenlik değerlendirmelerinin bir parçası olarak ele alması gerektiğini söylediği bir unsur olarak, kimyasal kirletici madde temizlemenin yanında yerini alacak.
Ayrıca bakınız: İsteğe Bağlı | Siber Risk Ölçümünün Gizemini Ortaya Çıkarma
EPA, operasyonel teknolojinin güvenliğini, ajansın “sıhhi araştırmalar” olarak adlandırdığı değerlendirmelerde bir faktör haline getirmek için Güvenli İçme Suyu Yasası kapsamındaki yetkilerini kullanıyor.
EPA Su Ofisi yönetici yardımcısı Radhika Fox, Perşembe akşamı gazetecilerle yaptığı görüşmede, “Su sistemini hedef alan siber saldırılar gerçek ve önemli bir tehdit” dedi. EPA, su sistemlerinin her üç ila beş yılda bir sıhhi bir incelemeden geçmesini şart koşuyor.
Biden yönetimi, kritik altyapı sektörleri için yeni siber güvenlik zorunlulukları oluşturmak üzere Güvenli İçme Suyu Yasası gibi mevcut tüzükleri kullanma stratejisinin bir parçası olarak, kamu su sistemleri için düzenleyici gereklilikleri artıracağını aylardır güçlü bir şekilde ima etti. Bazı eyaletler ayrıca yerel kamu su sistemlerini sağlık araştırmalarına siber güvenliği dahil etmeye yönlendirdi.
EPA’nın duyurusu, idarenin, milletvekillerini yeni düzenleyici makamlar oluşturmaya çağıran bir siber güvenlik stratejisi yayınlamasından bir gün sonra geldi (bkz.: Beyaz Saray, Biden’ın Ulusal Siber Güvenlik Stratejisini Açıkladı).
Su sisteminin bilgisayar korsanlığına karşı savunmasızlığına ilişkin endişe, on yıldan fazla bir süredir sızıyor, ancak kritik altyapının tüm sektörlerini kesintiye uğratan yıllarca süren fidye yazılımı saldırıları dalgasıyla birlikte büyüdü. 2021’de federal kurumlar, Kaliforniya’daki bir tesise yönelik bir fidye yazılımı saldırısının üç SCADA sunucusunun bir haraç talebi göstermesine neden olduğunu gözlemledikten sonra, kamu su sektörünü güvenlik duruşunu iyileştirmesi konusunda uyardı. Uyarı ayrıca Nevada, New Jersey ve Maine’deki fidye yazılımı olaylarını da gösterdi.
Ayrıca, Post Rock Rural Water District’te, eski bir çalışanın hala aktif olan uzak masaüstü kimlik bilgilerini Kansas’ın merkezindeki 10.000 kişiye hizmet veren su arıtma tesisini kapatmak için kullandığı, 2019’da kötü şöhretli bir olaya da atıfta bulundu. Adam, Wyatt Travnichek suçunu kabul etti ve Mayıs ayında üç yıl denetimli serbestlik cezası aldı (bkz: Kamu Su Sistemleri Siber Güvenlik Riskinde, Milletvekilleri Duyuyor).
EPA, kamu su sistemlerinin yeni düzenleyici yetkiye uymak için bir dizi seçeneğe sahip olduğunu söylüyor. Öz-değerlendirmeleri, üçüncü taraf değerlendirmelerini veya eyalet hükümeti tarafından yapılan değerlendirmeleri içerir. Devletler ayrıca siber güvenlik açıklarını kapatmak için su sistemlerini mevcut devlet programlarına dahil edebilir.
Ajans, siber güvenliği nasıl değerlendirmeyi planladığına dair bir kılavuz yayınladı ve buna halkın tepkisinin revizyonları yönlendireceğini söyledi.