Kritik Altyapı Güvenliği, Yönetim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Yasal ve Gönüllü Yöntemler Yetersiz Kalıyor
Prajeet Nair (@prajeetskonuşuyor) •
8 Ağustos 2024
ABD’de su sektörüne yönelik siber tehditler artıyor ancak bu sektörü denetleyen ana federal düzenleyici kurumun, sektör operatörlerinin iş birliği eksikliği nedeniyle sekteye uğrayabileceği, Hükümet Hesap Verebilirlik Ofisi’nin raporunda yer alıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | HCLTech ve Microsoft ile OT Güvenliğinin Güçlendirilmesi
Su sektörü dernekleri ve su sistemi operatörleri siber güvenlik performans ölçümleri toplamak istemiyor, Çevre Koruma Ajansı yetkilileri GAO’ya söyledi. Kongre gözlemcisi Perşembe günü yayınlanan bir raporda, “Bu yetkililer Aralık 2023’te ajansın bu nedenle veri edinmek ve suya özgü performans ölçümleri geliştirmek için uygulanabilir bir yolu olmadığını söyledi,” dedi.
Su sektörüne yönelik hem siyasi amaçlı hem de fidye amaçlı saldırılar giderek artıyor (bkz: İranlı Bilgisayar Korsanları Grubu Pensilvanya Su İdaresine Saldırıyor).
Sayıları çok fazla olmasa bile – GAO, 2019’dan 2021’e kadar su ve atık su sistemlerine yönelik beş bilinen saldırı olduğunu söyledi – bu tür saldırılar halk sağlığına zarar verme ve işlevsel bir su sistemine bağlı diğer sektörler üzerinde domino etkilerine neden olma potansiyeli taşıyor.
Bilinen saldırılar arasında 2021 yılında Kaliforniya, Maine ve Nevada’daki su sistemlerine yönelik olarak kamu hizmeti SCADA sunucularını etkileyen üç fidye yazılımı saldırısı da yer alıyor.
EPA, federal yargıçların Çevre Koruma Ajansı’na bu çabaları durdurmasını emretmesinin ardından, siber güvenliği su sistemlerinin federal olarak zorunlu güvenlik değerlendirmelerinin bir bileşeni haline getirme girişiminden 2023 yılında geri adım attı (bkz: ABD Çevre Koruma Ajansı (EPA), Su Sistemlerinin Siber Güvenlik Değerlendirmelerini İptal Etti).
Kurum, bu yılın başlarında Güvenli İçme Suyu Yasası kapsamındaki yetkilerini kullanarak, kurumun “sıhhi incelemeler” adını verdiği periyodik değerlendirmelerde operasyonel teknolojinin güvenliğini bir faktör haline getirdi. Missouri, Arkansas ve Iowa başsavcıları ile endüstri lobi grupları American Water Works Association ve National Rural Water Association tarafından açılan bir davada federal bir yargıç, EPA emrini erteledi.
EPA, “sorunları hızla çözmek için uygulama yetkililerini kullanmayı” sürdüreceğini söyledi; ancak GAO, EPA’nın siber güvenliği iyileştirmek için su sistemlerini zorlamak amacıyla hangi yasal yetkilere başvurabileceğine dair hiçbir belge sunmadığını belirtti.
Su sistemi operatörleri ve siber güvenlik uzmanları, sektörün siber güvenlik zorunluluklarına karşı direncinin riskin cehaletinden değil, finansman eksikliğinden kaynaklandığını söylüyor. “Eyalet ve yerel kurumlar kronik olarak finansman konusunda sıkıdır ve siber güvenlik, birkaç yıl önce çoğu kurumun bütçesinde olmayan bir kalemdir – pahalı bir kalemdir,” dedi tehdit azaltma platformu Semperis’in baş teknoloji uzmanı Sean Deuby, bu yılın başlarında Information Security Media Group’a (bkz: Su Sektörü Beyaz Saray’ın Siber Taleplerini Karşılamak İçin Destekten Yoksun).