Su ve atık su tesisleri, geçen hafta, ulus devlet gruplarının ve siber suçluların yeterince hizmet alamayan kritik altyapıyı hedef alan daha fazla sayıdaki saldırılarının ardından, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) siber saldırılara karşı tepkilerini iyileştirmeye yönelik yeni bir kılavuz aldı.
CISA’nın 27 sayfalık kılavuzu etkili bir olay müdahale taktik kitabının nasıl oluşturulacağı konusunda ayrıntılı tavsiyeler de dahil olmak üzere su sektöründeki kamu hizmetleri için bir dizi önemli sonuç sundu.
“Su ve Atık Su Sektörü için Siber Olaylara Müdahale Kılavuzu”, siber olayların raporlanmasına yönelik en iyi uygulamaları açıklığa kavuşturmayı, siber güvenliklerini iyileştirmeye yardımcı olmak için kamu hizmet şirketlerini kaynaklarla bağlantılandırmayı ve sektördeki işletmeler arasında işbirliğini teşvik etmeyi amaçlamaktadır. Amerika Birleşik Devletleri’nde, %83’ü ABD nüfusunun yalnızca %8’ini oluşturan küçük topluluklara hizmet eden yaklaşık 51.000 toplumsal su sistemi ve atık su için 16.500 kamuya ait arıtma tesisi bulunmaktadır. CISA tahminlerine göre (PDF).
Endüstriyel tesisler için OT-Siber Acil Durum Hazırlık Ekibi başkanı Dawn Cappelli, su ve atık su sektörüne (WWS) yönelik siber güvenlik çabalarının kaynak kısıtlamaları nedeniyle sekteye uğradığını, çünkü kamu hizmetlerinin genellikle maliyetleri müşterilere aktaramadıklarını ve bütçelerinin kısıtlı olduğunu söylüyor. -siber güvenlik firması Dragos.
“Ülkedeki su tesislerinin çoğu küçük ve güvenlik genellikle onlar için bir odak noktası değil” diyor. “Kaynak sıkıntısı çekiyorlar ve eski boruların ve altyapının değiştirilmesi gibi konular siber güvenliğe gölge düşürüyor… [and] BT ortamlarındakilerden farklı olan OT ortamlarındaki siber tehditlerin oluşturduğu riski anlayacak uzmanlığa sahip değiller.”
Su ve Atık Su Siber Güvenlik Olayları Artıyor
ABD hükümeti, çeşitli acı veren siber olayların ardından kritik altyapının güvenliğini sağlamayı bir öncelik haline getirdi. Su ve atık su sektörü en son hedeflenen sektör haline geliyor. Şubat 2021’de Oldsmar, Fla.’da bir su şebekesi, izinsiz girişe maruz kaldı Saldırganın yakıcı kimyasalın seviyesini 100 kattan fazla yükseltmeye çalıştığı olay. Altı ay sonra siber suçlular Maine’deki iki kanalizasyon arıtma tesisini hedef aldı fidye yazılımıyla.
Yakın zamanda İran destekli bir grup Aliquippa Belediyesi Su İdaresine saldırdı Kasım ayında Pittsburgh’da bulunan olay, iki kasabanın su basıncına ilişkin izleme ve kontrol sistemlerini kesintiye uğrattı. Bu saldırının, İran yanlısı saldırganların aylar öncesine dayanan bir dizi siber saldırının parçası olduğu ortaya çıktı. ülke genelinde çeşitli su kontrolörlerini hedef aldı.
Ve sadece bu hafta, Veolia Kuzey Amerika’nın Belediye Su bölümü fidye yazılımı aktörlerinin, faturalandırmadan sorumlu olanlar da dahil olmak üzere birçok BT sistemini bozduğunu kabul etti.
Siber güvenlik, kamu hizmetleri için üçüncü en önemli BT sorunu olarak yer alıyor. Kaynak: Amerikan Su İşleri Derneği
Saldırganlar su ve atık su sektörünü hedef alırken, bu tür saldırılar sadece vatandaşları değil diğer kritik altyapıları da etkiliyor. Saldırı yüzeyi koruma firması Armis’in kamu sektörü CTO’su Mike Bimonte, enerji ve tarım gibi diğer sektörlerin de suya bağlı olduğunu söylüyor.
“Bu gruplar küçük belediyeleri hedef alıyor, ancak gerçekte umutları, enerji, sağlık ve genel altyapı refahı üzerinde hem alt hem de üst yönde önemli bir etkiye sahip olmalarıdır” diyor ve ekliyor: “Bu .. . paranın karşılığını en büyük patlama.”
Daha fazla saldırı kapıda: CISA kılavuzda “Ulus devlet siber aktörleri aynı zamanda ABD WWS hizmet kuruluşlarını hedef alma niyetinde olduklarını gösterdi” dedi.
Su Sektörü için Olaylara Müdahalenin İyileştirilmesi
CISA, WWS tesislerinin olayları bir siber saldırıya maruz kalmadan çok önce planlamasını tavsiye ediyor. Kılavuza FBI ve Çevre Koruma Ajansı’nın yanı sıra iki düzineden fazla WWS kuruluşu katkıda bulundu. CISA, kamu hizmetleri kurumlarına tavsiyelerin gereklilik olmadığı konusunda güvence verdi ve aynı zamanda bunların kapsamlı en iyi uygulamalar olmadığı ve önerilen teknik yapılandırmaları içermediği konusunda da uyardı.
Yönergeler, su ve atık su tesislerinin aşağıdakileri yapmasını gerektirir:
-
Organizasyon düzeyinde bir olay müdahale planı oluşturarak ve sektörün siber topluluğunda yer alarak hazırlanın.
-
Federal kurumlara rapor verirken gürültüyü azaltmak için tespit yeteneklerini ve potansiyel olayları doğrulama yeteneğini geliştirin.
-
Bilgileri uygun gruplarla paylaşarak kontrol altına alma, yok etme ve iyileştirme planlayın ve iyileştirme ve hafifletme için yardım sağlayın.
-
Hangi veri ve kanıtların saklanması gerektiğini belirten ve öğrenilen derslere ilişkin rehberlik sağlayan bir olay sonrası taktik kitabı oluşturun.
Belgenin tüm su ve atık su tesisleri için bir referans olması gerekirken, kuruluşlar öncelikle tavsiyeleri uygulamayı planlamalıdır. “Su ve Atık Su Hizmetleri için 15 Siber Güvenliğin Temelleri” raporu Endüstriyel Nesnelerin İnterneti ve operasyonel teknoloji güvenliği firması Nozomi Networks’ün siber güvenlik stratejisti Danielle Jablanski, Su Bilgi Paylaşımı ve Analiz Merkezi (WaterISAC) tarafından yayınlanan bir raporun yayımlandığını söylüyor.
“Her varlık sahibinin kendi kritikliği, teknolojileri, satıcıları, ekosistemi, kaynakları ve konumları hakkında kendi anlayışına göre bir strateji oluşturması gerekiyor” diyor. “Dolayısıyla, bir Hava Kuvvetleri üssü yakınındaki bir su kuruluşunun, Walt Disney World yakınındaki bir su kuruluşundan farklı hususları vardır; benim fikrimce ikisi de eşit derecede önemlidir, ancak tamamen farklı hususlar.”
WWS Yardımcı Programlarında Siber Farkındalık Eksikliği
Su ve atık su hizmetlerinin siber güvenliğe öncelik vermesini sağlamak zor olabilir. Siber güvenlik sorunları, 2023’teki kritik endişeler listesinde 13. sırada yer aldı. “Su Sektörünün 2023 Durumu” raporu Amerikan Su İşleri Derneği tarafından yayınlandı. Yaşlanan su altyapısının onarılması, su tedariğinin sağlanması ve sermaye iyileştirmelerinin finansmanı, son beş yıldır kritik konular listesinde ilk üç sırada yer aldı. Ancak siber güvenlik 2022’de listede 10. sırada yer aldı.
Raporda, genel olarak kamu hizmetlerinin yaklaşık üçte birinin (%31) mevcut BT sistemlerini izinsiz girişlere karşı daha dayanıklı olacak şekilde güncellemeyi planladığı, %7’sinin yeni bir BT güvenlik sistemi kuracağı ve dörtte birinin (%24) siber güvenlik gereksinimlerini değerlendirdiği belirtildi. .
Ancak Nozomi’den Jablanski, su ve atık su tesisleriyle ilgili sorunun, bunların düzenlenmiş tesisler olması, büyük ölçüde merkezi olmayan ve özerk olmaları ve sıklıkla izole coğrafyalarda faaliyet göstermeleri olduğunu söylüyor.
Bu koşullar göz önüne alındığında sektörün diğer kritik altyapı sektörleriyle karşılaştırıldığında ortalama bir performans gösterdiğini ekliyor.
Jablanski, “Su sektörü, siber güvenlik harcamalarını müşterilerine aktaramayan diğer sektörlerle aynı durumda” diyor. “Bu unuttuğumuz bir şey; birçok şirket bu maliyetleri aktarabilir, kamu hizmetleri bunu yapamaz.”