Çevre Koruma Ajansı’na (EPA) göre, Amerika Birleşik Devletleri’ndeki toplumsal içme suyu sistemlerinin yaklaşık %70’i Güvenli İçme Suyu Yasası’na (bu yasanın belirlediği siber güvenlik standartları da dahil) uymuyor. Yeni EPA yaptırım planları bu durumu tersine çevirmeyi amaçlıyor.
Bir göre EPA uyarısı Bu hafta özellikle Rusya ve İran, ülkenin su sistemlerine yönelik siber saldırılarını “ek eylemin kritik olduğu bir noktaya kadar” artırdılar. Ajans, güncellenmemiş varsayılan şifreler ve kolayca ele geçirilebilecek tek oturum açma bilgileri de dahil olmak üzere, endişe verici bir dizi kritik siber güvenlik açıklarına dikkat çekti.
Bahisler oldukça yüksek. Ajans, “Olası etkiler arasında suyun toplum için arıtılması, dağıtılması ve depolanmasının aksaması, pompalara ve vanalara zarar verilmesi ve kimyasal seviyelerinin tehlikeli miktarlara değiştirilmesi yer alıyor” dedi.
Buna yanıt olarak EPA, su sistemlerinin siber güvenlik dayanıklılığını düzenli olarak değerlendirmesini ve acil müdahale planları geliştirmesini sağlamak için planlı denetimlerin sayısını artıracağını söyledi. Girişimin bir parçası olarak EPA, aşağıdaki adımları içeren “Su Sistemlerini Güvenceye Almak için En İyi Eylemler” taslağını yayınladı:
-
Herkese açık İnternet’e maruz kalmayı azaltın
-
Düzenli siber güvenlik değerlendirmeleri yapın
-
Varsayılan şifreleri hemen değiştirin
-
OT/IT varlıklarının envanterini çıkarın
-
Siber güvenlik olaylarına müdahale ve kurtarma planları geliştirin ve uygulayın
-
Güvenlik açıklarına maruz kalma riskini azaltın ve siber güvenlik farkındalığı eğitimleri düzenleyin
Ajans ayrıca ülke çapında su ve atık su sistemlerine yönelik siber riski azaltmaya yönelik kısa vadeli ek eylem ve stratejileri belirlemek için bir görev gücü kurduğunu da belirtti; ve uygun olduğu durumlarda, sistemlerin bir araya gelmemesi durumunda hukuki ve cezai yaptırımlara başvuracağını da belirtti.
Su Sektörüne Yönelik Devam Eden Saldırılar ve Endişeler
Uyarı yalnızca sonuncusu Federaller su siber güvenliği konusunda bir dizi alarm verdi Son aylarda buna benzer saldırılara yanıt olarak geçen bir kasım İran devleti destekli CyberAv3ngers adlı bir grup tarafından Pensilvanya’daki Aliquippa Belediyesi Su İdaresi’nde. EPA, uyarısında son saldırıların ayrıntılarını sunmadı ancak “yabancı hükümetlerin bazı su sistemlerini siber saldırılarla kesintiye uğrattığını ve bu saldırıları gerçekleştirmiş olabileceğini” belirtti. bunları devre dışı bırakma yeteneği yerleşiktir gelecekte.”
Hükümet, buna rağmen Su endüstrisi gruplarından düzenleme karşıtı tepki7,5 milyon dolar teklif etme gibi hamleler de yaptı kırsal su sistemleri için yeni siber güvenlik finansmanı.
GuidePoint Security’de OT güvenlik stratejisti Chris Warner, devam eden sorunun bir kısmının sektöre özel siber güvenlik uzmanlığına ulaşmanın zor olmasından kaynaklandığını söylüyor.
“Su ve atık su tesislerimizin güvenliğindeki zorluk, kalifiye OT güvenlik personelinin eksikliğidir ve BT güvenliğinin, su sistemlerini çalıştıran kontrol sistemlerini anlamadaki zorlukları, önemli zorluklara yol açmaktadır” diye açıklıyor. “Bu sorunları çözmek için işlevler arası ekipler oluşturmak, Kritik Altyapı Sektörü İrtibatlarıyla işbirliği yapmak ve yerel kolluk kuvvetleriyle güçlü ilişkiler kurmak çok önemli.”
Bu özel ihtiyacı karşılamak için EPA, su sistemlerinin siber duruşlarını sağlamlaştırmasına yardımcı olmak amacıyla rehberlik, araçlar, eğitim, kaynaklar ve teknik yardım sunmak üzere CISA ile birlikte çalıştığını söyledi. CISA Ocak ayında ayrıca kapsamlı bir rapor yayınladı. Siber güvenlik için su sektörüne özel 27 sayfalık kılavuz en iyi uygulamalar.
Warner, federallerin ilgi odağı olmaya devam etmeleri ve su ve atık su siber güvenliğinde aktif rol almaları gerektiğini belirtiyor.
“Bu önlemler koordinasyonu geliştirebilir, müdahale sürelerini iyileştirebilir ve su sistemlerinin güvenliğine yönelik kapsamlı bir yaklaşım sağlayabilir” diyor. “Bu tür yetkiler ve işbirlikçi çabalar olmadan, su ve atık su sistemleri de dahil olmak üzere kritik altyapılara yönelik saldırı riski önemli ölçüde artıyor.”