Hükümet Hesap Verebilirlik Ofisi’nin (GAO) son raporu, Çevre Koruma Ajansı’nın (EPA) su sektörü siber güvenliğine yönelik stratejisini güçlendirmesi için acil bir ihtiyaç olduğunu vurguluyor. Siber tehditler, ABD genelinde su ve atık su sistemlerinin güvenliğini ve güvenilirliğini giderek daha fazla tehlikeye attıkça, GAO bu kritik altyapıları saldırılardan korumak için daha fazla siber güvenlik önlemi çağrısında bulunuyor.
Ülke çapında yaklaşık 170.000 su ve atık su sistemini kapsayan su sektörü, artan siber güvenlik riskleriyle karşı karşıyadır. GAO’nun yeni raporu, bu sistemlerin halk sağlığını ve çevreyi önemli ölçüde bozma potansiyeline sahip siber saldırılara karşı savunmasızlığını vurgulamaktadır.
Siber Saldırıların Artmasıyla Su Sektörü Siber Güvenliği Öncelikli Hale Geldi
2023’te İran bağlantılı hacker’lar jeopolitik bir protesto eylemi olarak Pittsburgh yakınlarındaki bir su sistemini hedef aldı. Benzer şekilde, Çin destekli hacker’ların içme suyu sistemlerini ihlal etmeye çalıştıkları ve muhtemelen siyasi gerginlik zamanlarında kontrolü ele geçirmeyi amaçladıkları iddia edildi. Dahası, 2019’da eski bir çalışanın Kansas’taki bir kamu hizmetinin su arıtma sistemlerini tehlikeye attığı iddia edilen bir olayda gösterildiği gibi içeriden gelen tehditler bir endişe kaynağıdır.
Su sektörü siber güvenliğindeki bu aksaklıklara rağmen, su sektörünün yaklaşımı parçalı ve tepkisel olmaya devam ediyor. Birçok kamu hizmeti, modern siber güvenlik önlemlerini entegre etme çabalarını zorlaştıran eski teknolojiyle boğuşuyor. Dahası, sektörün siber güvenliğe yaptığı yatırım, genellikle siber güvenlikten ziyade su kalitesini önceliklendirme eğiliminde olan düzenleyici gerekliliklere uyma ihtiyacı tarafından gölgede bırakılıyor.
Şu anda, EPA’nın yaklaşımı, mevcut siber tehditlerin büyüklüğü ve karmaşıklığı göz önüne alındığında yetersiz olduğu kanıtlanan kamu hizmetlerinden gönüllü işbirliğine dayanmaktadır. Sonuç olarak, siber güvenlikteki iyileştirmeler büyük ölçüde gönüllü ve tutarsız olmuştur.
GAO raporu, EPA’nın su sektörü siber güvenliğini iyileştirmek için bazı çabalarda bulunmuş olmasına rağmen, kapsamlı bir risk değerlendirmesi yapmadığını veya riske duyarlı bir strateji geliştirmediğini vurgulamaktadır. Bu birleşik yaklaşım eksikliği, EPA’nın sektörün en önemli tehditlerini etkili bir şekilde ele alma yeteneğini engellemektedir.
Ulusal Siber Güvenlik Stratejisine İhtiyaç Var
GAO, EPA’nın su sektörü siber güvenliğini güçlendirmek için kararlı adımlar atmasını öneriyor. Rapor, özellikle sektör genelindeki riskleri ele alan ulusal bir siber güvenlik stratejisinin geliştirilmesini talep ediyor. EPA, siber güvenlik iyileştirmelerini uygulamak ve su sistemlerinin siber tehditlere karşı koruma için en iyi uygulamalara uymasını sağlamak için ek yetkiye ihtiyaç duyup duymadığını değerlendirmelidir.
EPA, yaptırım faaliyetlerini artırma ve İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile işbirliği yapma gibi bazı adımlar atmış olsa da daha yapılandırılmış ve proaktif bir stratejiye ihtiyaç duyuluyor.
Raporda ayrıca, iş gücü beceri eksiklikleri ve eski teknolojileri güncelleme zorluğu da dahil olmak üzere su sistemleri için mevcut siber güvenlik çerçevesindeki boşluklar da belirtiliyor. EPA’nın içme suyu sistemlerinde siber güvenlik değerlendirmelerini zorunlu kılma çabaları, daha net ve daha yetkili bir düzenleyici yaklaşıma ihtiyaç olduğunu gösteren yasal zorluklarla engellendi.
GAO, EPA için dört temel öneriyi özetledi: kapsamlı bir sektör risk değerlendirmesi yapmak, ulusal bir siber güvenlik stratejisi geliştirmek ve uygulamak, yasal yetkisinin yeterliliğini değerlendirmek ve gerekirse ek yetki talep etmek. EPA bu önerilere katılmıştır ve 2025 ortasına kadar yetkilerinin bir değerlendirmesini ve bir risk değerlendirme stratejisini yayınlaması beklenmektedir.
Su sistemlerine yönelik siber güvenlik riskleri sadece teorik değildir; son zamanlarda ulus-devlet aktörleri ve siber suçlular tarafından bu sistemlere yönelik gerçekleştirilen saldırılar da gösterdiği gibi gerçek bir tehdit oluşturmaktadır.