Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Ajans, Su ve Atık Su Sektörlerine Yönelik OT Güvenlik Referans Kılavuzu Hakkında Geri Bildirim İstiyor
Chris Riotta (@chrisriotta) •
12 Haziran 2024
Belediye su sistemlerinde ağ bağlantılı kontrol sistemleri, aksini tercih eden yerleşim yerleri için bile kaçınılmazdır. Varsayılan uzaktan erişime sahip yeni ekipmanlar ve aşırı yoğun onarım iş gücü, belediye su sistemlerinin internetten kesilmesinin gerçek bir seçenek olmadığı anlamına geliyor.
Buradaki zorluk, geçen sonbaharda Aliquippa, Pensilvanya Belediye Su İdaresi’ne övgüler yağdıran saldırı gibi bir ulus devlet saldırısının bir sonraki hedefi olma riskini göze almadan şirket içi sistemlere uzaktan erişimin güvenli bir şekilde nasıl yetkilendirileceğidir. küresel haber başlığına yerel yardımcı programı yayınlayın (bkz: İranlı Hacker Grubu Pensilvanya Su Kurumuna Saldırdı).
ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün bazı fikirleri var. Su ve atık su tesislerinin ortaya çıkan siber tehditlere karşı korunmasını amaçlayan bir projenin ilk aşaması hakkında kamuoyunun geri bildirimini istiyor. NIST, su hizmetlerinin uzak bağlantı noktalarına rağmen operasyonel teknolojiyi güvence altına almasına yönelik taslak referans kılavuzlarını Çarşamba günü yayınladı.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Taslak projenin ilk yayını, çeşitli su ve atık su sistemlerine yönelik çözümlerin yanı sıra her büyüklükteki su sistemlerine uygulanabilecek bulut tabanlı uzaktan erişim çözümleri sunmak üzere tasarlandı.
Proje, siber güvenlik risklerini azaltmak için ticari olarak temin edilebilen mevcut ürünlerin uygulanmasını araştırmayı amaçlıyor. NIST, projenin, satıcılar tarafından sağlanan, varlık yönetimini geliştirmeye, veri bütünlüğünü geliştirmeye, ağ bölümleme yeteneklerini genişletmeye ve yine de OT ortamı dışından OT varlıklarına uzaktan erişime izin vermeye yardımcı olan ürünleri içereceğini söyledi.
NIST, su hizmetlerinin genellikle geniş coğrafi alanları kapsadığını ve otomatik süreçleri kontrol eden, izlemeyi yürüten ve tüm kuruluş genelinde veri iletimi sağlayan denetleyici kontrol ve veri toplama sistemleri gibi OT desteğine güvendiğini kabul etti.
Kılavuzda, “Ağ destekli teknolojilerin sektör tarafından giderek daha fazla benimsenmesi, tesislerin siber güvenlik duruşunun korunmasını sağlamak için en iyi uygulamaların, rehberliğin ve çözümlerin geliştirilmesini hak ediyor” diyor.
NIST’in Ulusal Siber Güvenlik Mükemmeliyet Merkezi, su ve atık su sektörü için kritik siber güvenlik endişelerini ele alan dört senaryoyu içeriyordu. Senaryolar, güvenlik yapılandırmalarının yönetiminde boşluklara yol açan, tesis dışı veya uzak cihazları hariç tutan eksik OT ekipmanı ve yazılım envanterleri gibi varlık yönetimi sorunlarını kapsar. Diğer endişeler arasında veri bütünlüğü, OT varlıklarına uzaktan erişimin güvence altına alınması ve tehdit aktörlerinin hassas sistemlere erişmesini ve operasyonel bütünlüğü tehlikeye atmasını önlemek için yeterli ağ bölümlemesinin sağlanması yer alıyor.
Başvuru kılavuzu, güvenlik önlemlerinin tüm cihazlarda yapılandırılmasını sağlamak için çok faktörlü kimlik doğrulama ve varsayılan hesapları ve parolaları ortadan kaldırma gibi yöntemlerin oluşturulmasını önerir.
Taslak yayına ilişkin yorum dönemi 15 Temmuz’a kadar açık ve Çevre Koruma Ajansı’nın su ve atık su sektörlerini hedef alan saldırıların arttığı konusunda uyardığı dönemde geldi. Teşkilat müfettişleri ayrıca yakın zamanda ülke çapındaki içme suyu sistemlerinde bir dizi “endişe verici siber güvenlik açıkları” tespit ederek, denetlenen sistemlerin büyük çoğunluğunun zayıf siber hijyene sahip olduğu konusunda uyarıda bulundu (bkz: EPA, ABD Su Sistemi Siber Güvenlik İhlallerine Karşı Çöküyor).
Uzmanlar daha önce Bilgi Güvenliği Medya Grubu’na, EPA ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın son yıllarda istikrarlı bir şekilde ücretsiz ve düşük maliyetli kaynak akışı yayınlamasına rağmen, her iki sektörün de yeni federal güvenlik talimatlarına ve tavsiyelerine uyacak finansman ve teknik kaynaklardan yoksun olduğunu söylemişti. .