ABD kırsal su sistemleri için önümüzdeki beş yıl için yıllık 7,5 milyon dolarlık siber güvenlik fonu öneren yakın tarihli bir yasa tasarısı, kapsanan kuruluşlar için tek başına dolar miktarının önerebileceğinden daha büyük bir etkiye sahip olabilir. Daha küçük müşteri tabanına rağmen kamu güvenliğinde büyük rol oynayan kritik bir altyapı sektörü için çok ihtiyaç duyulan bir nakit akışı olacaktır.
Finansman, ABD Tarım Bakanlığı’nın (USDA) Circuit Rider Programı adındaki girişimi kapsamında kırsal su sistemleri ve küçük su hizmetleri için teknik yardım olarak yıllık 25 milyon ABD Doları tutarındadır. Ancak bu yasa tasarısı, şu anda çok az veya hiç olmayan siber güvenlik yeteneklerine sahip olan dar odaklı bir dizi küçük kuruluşu hedefliyor.
Seattle şehrinin eski CISO’su ve Critical Insight’ın şu anki CISO’su Mike Hamilton, bu sistemlerin saldırganlar için çekici hedefler oluşturması nedeniyle yatırımın hayati önem taşıdığını söylüyor.
“Su ve atık suların bozulması [systems] çok hızlı bir şekilde halk sağlığı acil durumlarına yol açabilir,” diyor ve ekliyor: “Küresel jeopolitik aktivistleri ve gönüllüleri yıkıcı eylemlerde bulunmaya teşvik ediyor, su ve atık, ABD hükümetinin kritik hizmetleri sürdürme becerisinden memnuniyetsizliği artırmak için görüş açılarına gelebilir.”
Kırsal Su Sistemleri: Kritik Bir Siber Saldırı Hedefi
Daha ciddi kaygılar da var. Hamilton, küçük su tesislerindeki kritik işletim sistemlerini hedef alarak, bir saldırganın “tankları boşaltabileceğini, kimyasalların seviyelerini değiştirebileceğini, kuyu ve tank izlemesine kötü telemetri bilgileri enjekte edebileceğini ve potansiyel olarak atık arıtma operasyonlarını etkileyebileceğini” söylüyor.
GuidePoint Security’de kıdemli operasyonel teknoloji güvenlik danışmanı Chris Warner, daha yumuşak hedeflerin saldırmak için daha az kaynak gerektirdiğini hatırlamak da önemlidir. Bu tür hedeflerin genellikle dikkati daha önemli ve daha büyük hedeflerden başka yöne çevirmek için kullanıldığını belirtiyor.
Suyun kesilmesi, kırsal veya küçük bir su sistemine yönelik bir saldırının olası sonuçlarından yalnızca biri, diye ekliyor Warner: “Beni endişelendiren şu: [attackers] su kalitesini temizlemek ve/veya dengelemek için kullanılan kimyasalların miktarını değiştirmek. Bu, toplu hastalığa ve hatta olası ölüme neden olabilir.”
Hamilton ve diğerleri, iyi haber şu ki, şimdiye kadar, küçük ve kırsal su sistemlerine yönelik, büyük önem taşıyan, kamuoyuna bildirilen çok az saldırı oldu.. Ancak bu, küçük ve kırsal su kuruluşlarının fidye yazılımı da dahil olmak üzere fırsatçı saldırıların kurbanı olamayacağı anlamına gelmez.
Xona Systems’ın kritik altyapı CTO’su Ron Fabela, “Anahtar faktörler, kritik sistemlerinin tehdit aktörleri tarafından istismar edilen kurumsal ve İnternet’e bakan kullanıcılara ne kadar maruz kaldığını içerir” diye açıklıyor. Fabela, “Tehdit aktörlerinin özellikle kırsal su sistemlerine olan ilgisinde bir artış olduğunu gösteren somut bir veri olmasa da” diyor Fabela, farkındalık, mevzuat ve endüstri odağındaki genel artış – ve bu son yatırım – emin olmanın anahtarı durum böyle kalır.
Su Güvenliği Konusunda Dar Ama Önemli Bir Siber Yatırım
“7,5 milyon dolar, finansman açısından kovada bir düşüş gibi görünse de, USDA Rider programı bu su varlıklarına odaklanıyor. [that] 10.000 veya daha az nüfusa hizmet ediyor” diyor Fabela. “Bu çok küçük su hizmetleri için herhangi bir mali yardım uzun bir yol kat ediyor.”
Temsilciler Don Davis (DN.C.) ve Zachary Nunn (R-Iowa), Temsilciler Angie Craig (D-Minn.) ve Abigail Spanberger (D-Va.) ile birlikte 2023 tarihli Kırsal Su Sistemleri için Siber Güvenlik Yasasını daha önce tanıttı. bu ay. Tasarı, küçük ve kırsal su hizmetleri için siber güvenlik teknik yardımı için 2024 ile 2028 arasında yıllık 7,5 milyon dolar dahil ederek Ulusal Kırsal Su ve Atık Su Devresi Rider programını genişletmeyi amaçlıyor.
Önerilen program kapsamında, siber güvenlik uzmanları – veya devre binicileri – kırsal su tesislerine seyahat edecek ve sistemlerini siber saldırılara karşı güvence altına almak için planlar oluşturmalarına yardımcı olacak. Siber güvenlik sürücüleri, onlarca yıldır küçük ve kırsal su sistemlerine ihtiyaç duyulduğunda, uygulamalı eğitim ve diğer teknik yardım sağlayan daha geniş bir çevre ekibi ekibinin parçası olacak.
Programın oluşturulmasında USDA ile işbirliği yapan Ulusal Kırsal Su Birliği’ne göre, pist sürücüleri 2009’dan bu yana küçük ve kırsal su sistemlerine 700.000’den fazla kez teknik yardım sağladı. doğal ve insan yapımı acil durumlar; su arıtma süreçlerini iyileştirmek; mevzuat uyumluluğunu geliştirmek; ve finansal sürdürülebilirliği iyileştirmek.
Tasarıyı açıklayan bir bildiride Temsilci Davis, teklifi, genel ulusal güvenlik için kritik öneme sahip olan tarım topluluklarında ve kırsal su sistemlerinde siber savunmayı güçlendirmek için kritik olarak nitelendirdi. “Kırsal toplulukların ve çiftçilerin güvendiği su sistemlerimizin siber saldırılara karşı başarılı bir şekilde korunmak için gerekli korumalara sahip olduğundan emin olmalıyız” dedi.
GuidePoint’ten Warner, devre binici programını siber güvenliği içerecek şekilde genişletmenin, daha küçük, kırsal su sistemlerinin güvenlik yolculuklarına başlamasına yardımcı olmaya başlaması gerektiğini söylüyor. Bu kuruluşların çoğu, su ve atık su ekipmanlarını güvence altına alacak sistemleri işletmek için gereken güvenlik personeli, uzmanlık ve finansmandan yoksundur, diyor.
“Geçmişte yardım ettiğim birçok su ve atık su kuruluşundan, bu, kuruluşların var olmayabilecek veya ‘verilen diğer görevler’ olarak ele alınan güvenlik departmanları oluşturmasına büyük ölçüde yardımcı olacaktır” diyor. Warner, finansmanın yönetişim ve risk yönetimi programları oluşturmalarına da yardımcı olabileceğini belirtiyor.
Kırsal Su Siber Güvenlik Fonları Çok İhtiyaç Duyulan Yardımı Sağlıyor
Daha önce DHS Eyalet, Yerel, Kabile ve Bölgesel Hükümet Koordinasyon Konseyi’nin başkan yardımcısı olan Hamilton, önerilen yeni finansmanın ne kadar etkili olup olmayacağını değerlendirirken hedef kitlenin boyutunu dikkate almanın önemli olduğunu söylüyor. Tasarının önerdiği 7,5 milyon dolarlık siber güvenlik fonu, genellikle eyalet ve yerel siber güvenlik hibe programlarının kapsamında olmayan küçük kamu hizmetlerini hedefliyor. “Bu sıkı kapsam belirleme nedeniyle, bu miktar önemli olabilir” diye belirtiyor.
Eyaletler ve kamu su sistemleri için yeni içme suyu gereksinimlerinin bir parçası olarak, “Kırsal alanlarda bulunan özel sektör su sistemleri, EPA’nın gerektirdiği değerlendirmeleri yapmak için fonları kullanabilir” diye ekliyor. Fon, bu kuruluşlara sistemlerindeki güvenlik açıklarını bulma ve kapatma konusunda yardımcı olabilir.
Kısmen bu sistemlerin nasıl sınıflandırıldığından dolayı, ABD’deki kırsal su sistemlerinin kesin sayısına ilişkin verilere ulaşmak zordur. Çevre Koruma Ajansı’na (EPA) göre, ABD’deki 153.000 kamu içme suyu sisteminin %97’si (Şubat 2020 itibariyle) 10.000 veya daha az nüfusa hizmet ediyor. Flint, Mich.’deki su krizinin ardından Amerikan Barolar Birliği tarafından hazırlanan bir başka rapor, ABD’deki topluluk su sistemlerinin sayısını 60.000 olarak belirledi; %93’ü 10.000’den az nüfusa ve toplam %67’si 500’den az kişiye hizmet veriyor. insanlar.