ABD Çevre Koruma Ajansı (EPA), 20 Mayıs 2024’te sert bir uyarı yayınlayarak ülkenin içme suyu sistemlerine yönelik artan siber tehditlere dikkat çekerken suyla ilgili kritik altyapıyı korumak için daha sıkı uygulama önlemlerinin ana hatlarını çizdi.
Çevre Koruma Ajansı, insan sağlığının ve çevrenin korunmasından sorumlu bağımsız bir ABD kurumudur. Bu sorumluluklar arasında Amerikalıların temiz hava, toprak ve suya sahip olmasını sağlamak ve bu konularla ilgili federal yasaların uygulanmasını denetlemek yer alıyor.
Uyarı, ulusal güvenliği güçlendirmeye ve kritik altyapıdaki güvenlik açıklarını gidermeye yönelik daha geniş bir hükümet girişiminin parçası olarak geliyor.
Çevre Koruma Kurumu Son Denetim Sonuçlarından Endişeli
Son EPA denetimleri, su sistemlerinin çoğunda endişe verici siber güvenlik açıklarını ortaya çıkardı. Denetlenen sistemlerin %70’inden fazlasının Güvenli İçme Suyu Yasası ile uyumlu olmadığı, bazılarının ise değişmeyen varsayılan şifreler ve tek oturum açma gibi ciddi güvenlik açıkları sergilediği tespit edildi.
Bu zayıflıklar, sistemleri siber saldırılara açık hale getiriyor ve bu saldırıların son zamanlarda giderek daha sık ve ciddi hale geldiği kurum tarafından gözlemleniyor.
Artan tehdide yanıt olarak EPA, Güvenli İçme Suyu Yasası kapsamındaki uygulama faaliyetlerini artırıyor. Bu, denetim sayısının arttırılmasını, gerektiğinde hukuki ve cezai yaptırımların başlatılmasını ve su sistemlerinin risk değerlendirmesi ve acil müdahale planlaması gerekliliklerine uymasının sağlanmasını içermektedir.
EPA ayrıca ülkenin su sistemlerini siber tehditlere karşı güçlendirmek için Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve FBI dahil olmak üzere federal ve eyalet ortaklarıyla yakın işbirliği içinde çalışıyor. Bu işbirliği, su sistemlerinin önemli güvenlik önlemlerini uygulamasına yardımcı olacak teknik yardım, rehberlik, eğitim ve kaynakların sağlanmasını içermektedir.
Yönetici Yardımcısı Janet McCabe, “Ülkemizin su kaynağını savunmak EPA’daki misyonumuzun merkezinde yer alıyor” diye vurguladı. Suyumuzu siber tehditlerden korumak için yaptırımlar da dahil olmak üzere mevcut tüm araçlardan yararlanıyoruz.
Uyarı, mevcut hükümetin kritik altyapılara yönelik siber tehditlerin aciliyetiyle mücadele etme ve su sistemlerinin halk sağlığına yönelik bu riskleri ortadan kaldıracak şekilde yeterli donanıma sahip olmasını sağlama konusundaki kararlılığını yansıtıyor.
EPA’nın Su Sistemlerine İlişkin Temel Önerileri
EPA’nın yaptırım uyarısı, su sistemlerine yönelik siber saldırıların yıkıcı sonuçlara yol açabileceği, potansiyel olarak suyun arıtılması, dağıtımı ve depolanmasını kesintiye uğratabileceği, kritik altyapıya zarar verebileceği ve hatta kimyasal seviyelerini tehlikeli miktarlara çıkarabileceği konusunda uyardı. Uyarıda, ulus devlet aktörlerinin son saldırılarının her boyuttaki sistemi hedef alması nedeniyle küçük su sistemlerinin de bu tehditten muaf olmadığı belirtildi.
EPA, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, su sistemlerinin aşağıdaki siber güvenlik önlemlerini uygulamasını şiddetle tavsiye etmektedir:
- Halka açık internete maruz kalmayı azaltın.
- Düzenli siber güvenlik değerlendirmeleri yapın.
- Varsayılan şifreleri hemen değiştirin.
- Operasyonel teknoloji (OT) ve bilgi teknolojisi (BT) varlıklarının bir envanterini çıkarın.
- Siber güvenlik olaylarına müdahale ve kurtarma planları geliştirin ve uygulayın.
- OT/IT sistemlerini yedekleyin.
- Güvenlik açıklarına maruz kalmayı azaltın.
- Siber güvenlik farkındalık eğitimleri düzenleyin.
EPA ve CISA, bu önemli değişiklikleri uygulamalarına yardımcı olmak için su sistemlerine ücretsiz yardım sunuyor. Kamu hizmetleri, Siber Güvenlik Teknik Yardım Formu aracılığıyla EPA ile iletişime geçebilir veya CISA Siber Hijyen Hizmetlerine şu adresten e-posta gönderebilir: [email protected] ‘Siber Hijyen Hizmetleri Talebi’ konu satırıyla.
EPA’nın artırılmış uygulama önlemleri, ülkenin su sistemlerinin karşı karşıya olduğu tehdidin aciliyetini yansıtıyor. Su sistemleri, federal ve eyalet ortaklarıyla birlikte çalışarak ve önerilen güvenlik uygulamalarını uygulayarak dayanıklılıklarını önemli ölçüde artırabilir ve bu kritik kaynağı kötü niyetli tehdit aktörlerinden koruyabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.