ABD Çevre Koruma Ajansı (EPA) Raporu, ABD Su Sistemlerindeki Siber Güvenlik Risklerini Ortaya Çıkarıyor: 193 Milyon Kişiye Hizmet Veren Kritik İçme Suyu Altyapısındaki Güvenlik Açıkları, siber saldırı risklerini artırıyor.
ABD Çevre Koruma Ajansı (EPA) Genel Müfettişlik Ofisi (OIG), bazı önemli konulara işaret eden bir rapor yayınladı. İçme suyu sistemlerinde siber güvenlik açıkları Amerika Birleşik Devletleri’nde büyük nüfuslara hizmet veriyor.
50.000 veya daha fazla nüfusa hizmet veren sistemlere odaklanan rapor, bu kritik altyapıların çoğunun hizmetleri aksatabilecek, veri kaybına yol açabilecek veya bilgi hırsızlığına yol açabilecek siber saldırı riski altında olduğunu ortaya koyuyor.
Raporun Temel Bulguları
OIG, her biri 50.000 veya daha fazla nüfusa hizmet veren ve yaklaşık 193 milyon insanı kapsayan 1.062 içme suyu sisteminin pasif bir değerlendirmesini gerçekleştirdi. 8 Ekim 2024’te gerçekleştirilen taramalara dayanan bulgular şunları ortaya çıkardı:
- Kritik ve Yüksek Riskli Güvenlik Açıkları: 26,6 milyon kişiye hizmet veren 97 sistemin kritik veya yüksek riskli güvenlik açıklarına sahip olduğu ve bu güvenlik açıklarının onları potansiyel kesintilere, hizmet reddine veya veri hırsızlığına maruz bıraktığı tespit edildi.
- Orta ve Düşük Riskli Sorunlar: 82,7 milyondan fazla kişiyi destekleyen ek 211 sistem, dış erişime açık, açık portallarla belirlendi. Daha düşük risk olarak sınıflandırılmasına rağmen bu sistemler, önlem alınmadığı takdirde istismara açık olmaya devam edecek.
Bu güvenlik açıkları, kötü niyetli aktörlerin hizmetleri kesintiye uğratmasına, hassas bilgileri çalmasına ve hatta altyapıya fiziksel zarar vermesine neden olabilir.
“Kritik veya yüksek riskli siber güvenlik açıkları seviyesine yükselmese de, 82,7 milyonun üzerinde insana hizmet veren ilave 211 içme suyu sistemi, dışarıdan görülebilen açık portallara sahip olması nedeniyle orta ve düşük düzeyde olarak tanımlandı.”
EPA
rapor aynı zamanda EPA’nın yönetim becerisindeki bir boşluğu da vurguluyor siber güvenlik olayları etkili bir şekilde. OIG, su ve atık su sistemleri için merkezi bir olay raporlama sisteminin bulunmadığını kaydetti. Bu sınırlama, bu kritik sektördeki siber güvenlik tehditlerine zamanında iletişim ve koordineli yanıt verilmesini engellemektedir.
Uzman Görüşleri
Bugcrowd’un kurucusu Casey Ellis, su sistemleri gibi kritik altyapıların benzersiz zorluklarını vurgulayarak konu hakkında yorum yaptı. Ellis, “Eskiyen teknoloji, sınırlı siber güvenlik desteği ve çalışma süresine öncelik verme ihtiyacı genellikle yama uygulama veya güvenlik önlemleri eklemeyle çelişiyor” diye açıkladı.
Pek çok sistemin hiçbir zaman internete bağlanacak şekilde tasarlanmadığını, ancak modern iş gücü taleplerini karşılayacak şekilde uyarlandığını ve bunların siber tehditlere maruz kalma olasılığının arttığını ekledi.
İLGİLİ KONULAR
- Su Kaynağı Zehirlenmesi Girişiminde Çalışanın Bilgisayarı Hacklendi
- Hackerlar ABD Su Ajansı’ndaki İsrail Yapımı Ekipmanları Tahrip Etti
- Fidye yazılımı ABD’deki 3 su tesisinin SCADA sistemlerini hedef aldı
- Adalet Bakanlığı, bir adamı halka açık su tesisini hacklemek ve karıştırmakla suçluyor
- Teknisyen Kaliforniya Su Arıtma Tesisini Hacklemekle Suçlanıyor