TL;DR: Eyalet AG’leri ve su birliklerinin yasal zorluklarıyla karşı karşıya kalan EPA, su tesisleri için siber risk değerlendirmelerini zorunlu kılma mücadelesinden şimdilik vazgeçmeye karar verdi. Uzmanlar, sektörün artan siber saldırılara karşı ne yazık ki risk altında olduğu konusunda uyarıyor ve bunun nedenini açıklıyor ve kamu hizmetlerinin bundan sonra ne yapması gerektiğine dair öngörüler sunuyor.
Çevre Koruma Ajansı geçen hafta, endüstri gruplarının ve Cumhuriyetçi milletvekillerinin konuyla ilgili dava açmasının ardından kamu su sektörü için siber güvenlik standartlarını düzenleyen kuralları geri çekti. Ancak siber güvenlik uzmanları, siber saldırıların serbestçe yayılma tehdidi nedeniyle sektörde siber iyileştirmeler yapılmadığı takdirde kamu güvenliği ve sağlığının risk altında olacağı konusunda uyarıyor.
Artık geçerliliğini yitiren kurallar, 3 Mart tarihli bir yorumlayıcı notta (PDF) belirlendi ve su sistemlerinin, herhangi bir sıhhi araştırma sırasında operasyonel teknoloji (OT) ve endüstriyel kontrol sistemleri (ICS) için bir siber güvenlik değerlendirmesi içermesini gerektirecekti.
Sıhhi Araştırma Programı, güvenli içme suyu üretebildiğinden ve dağıtabildiğinden emin olmak için bir sistemin su kaynağı, tesisleri, ekipmanı, işletimi ve bakımının periyodik, zorunlu yerinde incelemelerini gerektirir. Siber boyut, EPA’nın eklediği mevcut kuralın bir uzantısıdır ve böylece yeni düzenlemenin getirilmesine yönelik olağan, politik olarak yüklü kural koyma sürecini atlatır.
Critical Insight’ın CISO’su Mike Hamilton’a göre, bu artış “sadece her ortamı değerlendirmek ve bu sonuçları EPA’ya sunmak için bir gereklilik” ve talebin “gerçekten karşılanması zor veya pahalı olmadığını” ekliyor. Uygulamanın federal hükümete hangi desteğin (örneğin hibeler aracılığıyla) ne ölçüde tahsis edilmesi gerektiğini belirlemesine olanak tanıyacağını ve “daha da önemlisi, toplu sonuçların öncelikli olarak ele alınabilecek sistemik hassasiyet alanlarını belirleyeceğini” söylüyor. ”
Bununla birlikte, siyaset ve politika yapıcılar dünyasındaki diğerleri, özellikle üç eyalet başsavcısı ve bir çift sektör grubu olmak üzere, gereksinimlerin önerildiği şekilde karşılanması konusunda hemfikir değiller.
Endüstriden ve Muhafazakârlardan EPA Geri Tepmesi
Sıhhi Araştırmalar Programının genişletilmesine yönelik çok eyaletli yasal bir itirazı hızlı bir şekilde başlatan Cumhuriyetçi milletvekilleri, EPA’nın basitçe bunu yapma hakkının olmadığını savunarak, sıhhi anketler ortadan kalkmıyor, ancak bunların içindeki siber güvenlik kontrollerinin de dahil edilmesinin çok uzak bir köprü olduğunu savundu. Kamuoyunun yorum süresi veya yasama onayı olmaksızın mevcut kuralları değiştirmek.
Ayrıca, incelemelerin maliyetine ilişkin tahminler kamuya açıklanmamasına rağmen, siber güvenliğin sağlık kontrollerinin bir parçası olarak dikkate alınmasının maliyetinin fahiş olacağını savundular.
Iowa Başsavcısı Brenna Bird, davaya katıldıktan sonra Nisan ayında yaptığı açıklamada, “Federal hükümet suyumuzu temizlemek yerine Iowa’nın küçük kasabalarına zarar veriyor” dedi. “Enflasyonun yükseldiği ve geçinmenin yeterince zor olduğu bir dönemde, federal hükümet Iowalıların su faturalarını daha pahalı hale getirmekte ısrar ediyor. Biden Yönetimini sorumlu tutacağız ve Iowalıların cüzdanlarını koruyacağız.”
Bu arada Amerikan Su İşleri Birliği (AWWA) ve Ulusal Kırsal Su Birliği (NRWA), Temmuz ayında ABD Sekizinci Daire Temyiz Mahkemesi’ne, dava tamamlanana kadar siber güvenlik kurallarının yürürlüğe girmesinin durdurulması yönünde bir dilekçe kazandı.
NRWA CEO’su Matthew Holmes o dönemde yaptığı bir açıklamada, “NRWA, EPA’nın Siber Güvenlik Kuralını yasal olarak uygulanıp uygulanmadığı belirleninceye kadar uygulamasını engelleyen bu durdurma kararını verdiği için mahkemeyi övüyor” dedi. “NRWA, ülke çapındaki küçük topluluklarda siber güvenliği güçlendirme çabalarını tam olarak desteklese de, bu düzenlemeyi uygulamak küçük ve kırsal sistemlere yardım etmenin en iyi yolu değildir ve maliyetli ve gereksiz sonuçlara yol açabilir.”
Siber güvenlik talimatlarının yokluğunda EPA, siber güvenlik risk değerlendirmeleri yapmak ve kullanıcı eğitimi sağlamak da dahil olmak üzere gönüllü önlemleri uygulamak için eyaletler, içme suyu sistemleri ve atık su sistemleriyle birlikte çalışmayı umuyor.
OT siber güvenlik uygulama lideri Stephen Mozia şöyle diyor: “ABD’de 150.000’den fazla su tesisi var. Küçük, kırsal bir su idaresinin siber veya başka türlü, New York City ile aynı gereksinimler altında çalışabilmesini beklemek şu anda gerçekçi değil” diyor Optiv’de. “Yerel, eyalet ve federal düzenlemelerin ve siber güvenlik için en iyi uygulamalara yatırım yapmak gibi gönüllü önlemlerin bir kombinasyonu, uzun vadede boşluğu doldurabilir.”
Siber Saldırganlar Dalga Yaratmak İstiyor
Gelişmeler, su hizmetlerine yönelik tehditlerin kritik altyapı ortamının kenarlarında gizlenmeye devam etmesiyle ortaya çıkıyor.
EPA’nın kuralları geri çeken son duyurusuna göre (PDF), “Siber güvenlik, içme suyu ve atık su tesislerine yönelik ciddi ve giderek artan bir tehdidi temsil ediyor.” Mart notunda soruna daha ince bir nokta konuldu: Siber saldırıların, “güvenli içme suyunun arıtılması ve dağıtımını fiziksel bir saldırı ile aynı veya hatta daha büyük tehlikeye atma potansiyeline” sahip olduğu konusunda uyardı.
Gerçekten de Kaspersky’nin ICS sistemlerine ilişkin 2023 1. Yarı olaya genel bakış raporu, resmi olarak doğrulanan dört olayla su temini ve kanalizasyon şirketlerinin en çok saldırıya uğrayan kritik altyapı sektörleri arasında yer aldığını gösterdi. Bir örnekte İsrail’in Celile bölgesindeki Galil Kanalizasyon Şirketi, programlanabilir mantık denetleyicilerini (PLC’ler) hedef alan bir saldırının sulama operasyonlarının geçici olarak durdurulmasına yol açtığını doğruladı.
Kaspersky ICS CERT başkanı Evgeny Goncharov, su sistemi saldırılarının düşük vasıflı aktörler ve bilgisayar korsanları tarafından gerçekleştirildiğini, bunun da OT sistemlerine erişmenin ve bunları manipüle etmenin ne kadar kolay olduğunu gösterdiğini belirtiyor.
“Zaman geçtikçe hem hacktivistlerin geliştiğini hem de giderek daha fazla saldırı aracı ve bilginin onlar için kullanılabilir hale geldiğini görüyoruz” diye uyarıyor.
APT’lerin de bu karışıma dahil olabileceğini ekliyor: “Jeopolitik gerilimler her şeyi bir dakika içinde değiştirebilir; eğer başka bir devlet ‘dost olmayan bir ülkenin’ kritik altyapısına saldırmanın artık bir tabu olmadığına karar verirse.”
Öncelikle finansal motivasyona sahip aktörler başka bir risk oluşturabilir.
“Siber suçlular, mevcut en yaygın para kazanma planının (veri kilitleme ve/veya fidye yazılımı ve yeniden satış için gasp) artık etkili olmadığına karar verebilir [and] fiziksel ekipmanı kilitlemeye geçebilirler… ki bu mevcut durumdan çok daha yıkıcı olur [ransomware attacks],” diyor.
İstenmeyen sonuçlar arasında, kimyasal enjeksiyon ve filtreleme süreçlerinin tehlikeye girmesi nedeniyle su kalitesinin kaybı, kontrol sistemlerinin kullanılabilirliğinin tamamen kaybedilmesi ve manuel işlemlere geri dönme ihtiyacı (vanaların manuel olarak açılması, su seviyelerinin ölçülmesi) ve daha da önemlisi “kesinti” yer alabilir. Critical Insight’tan Hamilton, “çok hızlı bir şekilde halk sağlığı acil durumuna dönüşebilecek atık arıtma süreçlerine (aynı zamanda su sektörünün bir parçası)” dikkat çekiyor.
Su Sistemi Siber Güvenliği Uzun Vadeli Vizyon Gerektiriyor
Güvenlik araştırmacıları, EPA’nın kalbinin doğru yerde olduğunu belirtse de, su altyapısını güvence altına almak ve güçlendirmek, farklı ancak birbiriyle ilişkili eylem planları ve iyi miktarda sanayi-sektör eğitimi gerektiren inanılmaz derecede karmaşık bir görevdir.
Goncharov, “Su hizmetleri altyapısı, çeşitli ve dağınık yapısı nedeniyle güvence altına alınması o kadar da kolay olmayan bir şey” diye açıklıyor. “Çok sayıda küçük ve orta ölçekli nesne, birden fazla satıcı tarafından farklı OT sistemleriyle donatılmış, normalde güncelliğini kaybetmiş, çeşitli uzaktan bağlantı türlerine sahip. Diğer sorun ise tüm altyapı güvenliğini yönetecek nitelikli siber güvenlik uzmanlarının bulunmaması ve personeldeki genel düşük siber güvenlik kültürü olabilir. “
Sorunu çözmek için Hamilton, kamu hizmetlerinin öncelikle EPA’nın gönüllü risk değerlendirmelerini destekleme teklifini dikkate almasını tavsiye ediyor. Bazı iyileştirmeler için finansman mevcut olsa da (örneğin, 2023 Kırsal Su Sistemleri Siber Güvenlik Yasası kırsal su sistemleri güvenliği için 7,5 milyon dolar ayırdı) operatörlerin bu parayı nasıl harcayacaklarını belirlemeleri gerekiyor.
“Operatörler, kendilerini değerlendirmek, risk alanlarını belirlemek ve bütçe tahminleriyle düzeltici bir eylem planı geliştirmek için NIST Siber Güvenlik Çerçevesini (CSF) kullanma konusunda tamamen yeteneklidir” diyor. “Bu bilgi, oranları yöneten ve potansiyel olarak maliyetleri oran artışları yoluyla ele alan kamu hizmeti komisyonlarına iletilebilir. Bu değerlendirme zor değildir, bir veya iki gün içinde yapılabilir ve operatörlerin riskleri nasıl yöneteceklerini daha geniş bir şekilde anlamalarına yardımcı olacaktır. bu ortamlar.”
Ayrıca güvenlik uzmanları ve hükümet kaynakları, derin siber güvenlik farkındalık programlarına çaba sarf etmelidir.
Hamilton, “Su tesislerinin işletmecileri ve özellikle de değerlendirme maliyetlerine itiraz eden küçük ve kırsal kamu hizmetleri, genellikle bilgi teknolojisinden ziyade ticaretle ilgili bir geçmişe sahipler ve siber güvenlik konusunda tecrübeli değiller” diyor. “Risk yönetimi genellikle BT ve OT hariç fiziksel güvenlikle uyumludur.”
Kaspersky’den Goncharov, düzenleyici kurumların aynı zamanda “en yaygın soruların tümüne yanıtlar ve nasıl yapılırlar hazırlamak, kuruluşlara hem teknik konuları (devlet/merkezi olay izleme sisteminin nasıl güvence altına alındığı ve neden güvenlik altına alındığı gibi) açıklamak için sıkı bir çalışma yapması gerektiğini” öne sürüyor. ona güvenmeli ve sektörü nasıl destekleyeceğini) ve organizasyonel/finansal.”