Kritik altyapı güvenliği, düzenleme, standartlar, düzenlemeler ve uyumluluk
Devlet, su sektörü için yeni raporlama kuralları ve düzenlemeleri hakkında kamuya açık girdi arıyor
Chris Riotta (@Chrisriotta) •
25 Temmuz 2025
New York Eyaleti, su ve atık su sistemleri için siber güvenlik standartlarını zorunlu hale getirmeye yönelik ilk adımları attı, kritik bir altyapı sektörü giderek siber savunucu kaygısı ve bir saldırı listesi kaynağı.
Vali Kathy Hochul Salı günü yaptığı açıklamada, devletin yerel sistemlerin yabancı düşmanlardan ve siber suçlardan artan tehditlere karşı savunmasına yardımcı olmak için önerilen “ulus lideri siber güvenlik minimum standartları” hakkında kamuoyu yorumu istediğini söyledi. Taslak Kurallar, 3.300’den fazla kişiye hizmet veren topluluk su sistemlerini hedefleyen devleti göstermektedir ve bazı bileşenler sadece en az 50.000 sakine hizmet veren sistemleri etkilemektedir. Su sistemleri için öneriler arasında 24 saat içinde olay raporlaması, düzenli eğitim ve güvenlik açığı değerlendirmeleri bulunmaktadır. Atık su sistemleri erişim kontrolleri, çok faktörlü kimlik doğrulama ve olay müdahale planları uygulamak için gerekecektir.
Devlet ayrıca, su ve atık su sektörüne adanmış “kamu hizmetleri ve esneklik geliştirmeleri için temel siber güvenliği güçlendirme” veya güvenli bir şekilde 2,5 milyon dolarlık siber hibe programı duyurdu. Program, risk değerlendirmelerini finanse etmek ve önerilen kurallarla uyumlu sertleştirme çabalarını finanse etmek için rekabetçi hibeler sunacak, sistemlerin siber güvenliği güçlendirmesine, esnekliği artırmasına ve temiz su dağıtımını sağlamaya yardımcı olacak.
Hochul, yeni düzenlemeler ve hibe programının “yetersiz kaynaklı kuruluşların dijital çağ için modernleşmesine” yardımcı olmayı hedeflediğini söyledi. Önerilen rehber, çok kurumlu bir süreçle geliştirilmiştir ve su ve atık su sistemleri için sağlık ve çevre koruma departmanlarından siber güvenlik kurallarının yanı sıra kamu hizmetleri ve kablo şirketleri için kamu hizmeti departmanından paralel teklifler içermektedir.
Ülkenin su sistemleri üzerindeki siber saldırılar, ABD’de bir düzineden fazla eyalet ve 18 askeri tesiste 14 milyondan fazla kişiye hizmet veren en büyük düzenlenmiş su ve atık su tesislerinde 2024 ihlali de dahil olmak üzere son yıllarda endişeleri artırdı. Bilgisayar korsanları henüz su kalitesini etkilememiştir ve endüstri uzmanları başarısız güvenli mekanizmaların varlığına işaret etmektedir. Ancak hiç kimse, dijitalleşmenin su ve atık su sistemlerini, rezervuarların ve boruların görüntülerinin egemen olduğu kritik bir altyapı sektörü için düşünülemez bir zamanlar siber tehditlere maruz bıraktığına itiraz etmiyor (bkz: bkz: Kritik Altyapı Liderleri: Tehdit seviyesi yüksek kalır).
Su profesyonelleri, sektörlerinin, teknik desteği dış kaynaklardan dolayı parasal baskı nedeniyle veya modern ekipmanın bakım ve güncellemeler için gerektirdiği için, operasyonel teknoloji yığınlarına uzaktan ağ erişimini dahil etmekten başka seçeneği çok az seçeneği olduğunu söylüyor. Standart rehberlik, OT’yi BT ağından izole etmektir, ancak zaman içinde dikkatli bir şekilde bölümlere ayrılmış ağlar olarak başlayabilecek şey kolayca izlenmemiş bağlantılara sürüklenebilir.
Biden yönetimi siber güvenliği rutin su sistemi güvenlik değerlendirmelerine entegre etmek için harekete geçti, ancak federal bir hakim, birden fazla devlet avukatının davasının ardından çabayı engelledikten sonra kursu tersine çevirdi. Baskı ayrıca endüstri gruplarından muhalefet çekti ve sonunda EPA’yı yetkiyi terk etmeye istedi ve bunun yerine devletleri yerel siber güvenlik programlarını gönüllü olarak gözden geçirmeye çağırdı (bkz:: ABD EPA Nixes Su Sistemlerinin Siber Güvenlik Değerlendirmeleri).
New York’un önerdiği önlemler arasında, Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi 2.0’da altı temel işlevle uyumlu temel kontrolleri uygulamak için kamuya ait olan tüm tedavi çalışmaları için: Yönetin, Tanımlama, Koruma, Tespit, Yanıt Verme ve Kurtarın.
Kamu Hizmeti Komisyonu tarafından düzenlenen kamu hizmetleri 2026 son tarihle karşı karşıya kalırken, su ve atık su sistemlerinin çoğunun 2027 yılına kadar katı siber güvenlik gereksinimlerini karşılaması gerekecektir. Kurallar, aşamalı zaman çizelgesinin operatörlere riskleri değerlendirmek, kaynakları tahsis etmek ve yeni düzenlemelere uymak için teknik kapasite geliştirmek için zaman vereceğini söylüyor.
New York, uygulama süreci boyunca yerel sistemlere teknik rehberlik ve düzenleyici destek sunmak için topluluk yardım ekiplerini yeni kurallar altında genişletecek. Devlet ayrıca, yeni gereksinimlerde gezinen operatörler için araçları, eğitim ve kaynakları merkezileştirmek için bir siber güvenlik merkezi başlatacak.
2024 yılında Siber Güvenlik ve Altyapı Güvenlik Ajansı, EPA ve FBI sahiplerini ve su ve atık su sistemlerinin operatörlerini organizasyonel düzeyde olay müdahale planları geliştirmeye, güçlü siber güvenlik temel standartları oluşturmaya ve bilgi paylaşım ölçümlerini geliştirmeye çağıran ortak bir olay müdahale rehberi yayınladı (bakınız: bkz: bkz: Yeni rehberlik ABD su sektörünü siber esnekliği artırmaya teşvik ediyor).
Paydaşlar ve halk 3 Eylül 2025 yılına kadar Çevre Koruma Bakanlığı’na yazılı yorumlar sunabilirler.