Su altyapısındaki güvenlik açıkları konusunda farkındalığı artıran son siber saldırılara rağmen, yaklaşık 100 büyük topluluk su sistemi (CWS), internete yönelik sistemlerde ciddi güvenlik zayıflıkları yaşamaya devam ediyor ve yaklaşık 27 milyon Amerikalının su tedarikini riske atıyor.
Çevre Koruma Ajansı’nın (EPA) 13 Kasım’da yayımlanan raporuna göre, kritik ve yüksek şiddetteki güvenlik açıkları, ABD’de en az 50.000 kişiye hizmet veren 1.062 su sisteminin %9’undan fazlasını etkiliyor. Güvenlik açıkları, pasif sistem aracılığıyla keşfedildi. Ekim ayında 75.000’den fazla IP adresini ve 14.400 alanı inceleyen değerlendirmeler yapıldı.
Genel olarak milyonlarca vatandaş, işletmeler, okullar ve hastanelerin yanı sıra etkilenen su sistemlerine güveniyor. EPA, “Kötü niyetli aktörler, pasif değerlendirmemizde tespit ettiğimiz siber güvenlik açıklarından yararlanırsa, hizmeti kesintiye uğratabilir veya içme suyu altyapısında onarılamaz fiziksel hasara neden olabilirler” dedi.
Geçtiğimiz üç yılda su sistemleri, devlet destekli gruplar, fidye yazılımı çeteleri ve bilgisayar korsanları tarafından giderek daha fazla hedef haline geldi. 2023’te İran bağlantılı siber saldırganlar güvenliği ihlal edilmiş programlanabilir mantık denetleyicileri (PLC’ler) bir Pensilvanya’da su hizmetiİsrail’deki 10 atık su arıtma tesisinin yanı sıra. 2021’de bir bilgisayar korsanı Florida’da bir su arıtma tesisini hedef aldı hatta suyun kimyasal karışımını bile değiştirdi ama tespit edilmekten kaçacak gelişmişliğe sahip değildi. Eylül ayında Arkansas City, Kan.’da bir su arıtma tesisi açıldı. manuel çalışmaya geçildi Tesis bir siber güvenlik olayının hedefi olduktan sonra.
Su sistemindeki güvenlik açıkları, sistemi etkileyebilecek kritik bir sorundur. işletmeler, özellikle enerji üretim sistemleri ve veri merkezleriGoogle Cloud CISO Ofisi üretim ve endüstri başkanı Vinod D’Souza, “ancak özellikle insanlara zarar verme potansiyeline sahip” diyor.
“Su hizmetleri dünyada benzersizdir” [operational technology] OT dünyası, çünkü halk sağlığını doğrudan etkiliyorlar ve kirlenmiş su kaynakları gibi yıkıcı sonuçları önlemek için sıkı güvenlik gerektiriyorlar” diyor ve şöyle devam ediyor: “Coğrafi yayılmaları ve karmaşık sistemleri, diğer sektörlerde bulunmayan belirgin siber güvenlik zorlukları yaratıyor.”
Su, Su, Her Yerde… Bir Damla Güvenliğiniz Yok mu?
Amerika Birleşik Devletleri’nde üç tür kamu altyapısından oluşan yaklaşık 150.000 su sistemi bulunmaktadır. Topluluk su sistemleri (CWS), bir kasaba veya şehirde yaşayan sakinlere yıl boyunca su sağlar ve su sistemlerinin yaklaşık üçte birini (%33,7) oluşturur. Geçici topluluk dışı su sistemleri (TNCWS), seyahat edenlere ve ziyaretçilere belirli bir konuma (kamp alanı veya benzin istasyonu gibi) su sağlar, ancak kalıcı olarak değil. Bunlar kamusal su sistemlerinin %54,3’ünü oluşturmaktadır. Sistemlerin son %12’si, okullar, işletmeler ve hastaneler gibi konut dışı yerlerdeki insanlara su sağlayan geçici olmayan topluluk su sistemlerinden (NTNCWS) oluşuyor.
Birçok su kurumu küçük olduğundan ve topluluklara hizmet ettiğinden, diğer yerel yönetim kurumlarıyla aynı zorluklarla karşı karşıyadırlar: kaynak eksikliği, eski teknoloji, savunulacak şekilde tasarlanmamış mimariler ve görünürlük eksikliği, diyor küresel uygulama sorumlusu Paul Shaver Google Cloud’un Mandiant bölümünde ICS/OT güvenlik danışmanlığı sorumlusu.
“Bu, birçok belediye su kurumunun, riskleri belirlemeyi ve organizasyon boyutlarına uygun güvenlik yetenekleri geliştirmeyi zorlaştıran mali kısıtlamalara sahip olması gerçeğiyle daha da artıyor” diyor.
EPA düzenlemesi uyarınca, 3.300’den fazla kişiye hizmet veren tüm su sistemlerinin, siber güvenlik değerlendirmeleri de dahil olmak üzere risk değerlendirmeleri yapması ve acil müdahale planları geliştirmesi gerekiyor. Ancak Shaver, çoğunun parası olmadığını ve finansman olmadan kamu hizmetlerinin düzenlemelere uymakta zorlandığını söylüyor.
Bu sistemlerin kritikliği ve göreceli koruma eksikliği hükümet yetkililerini endişelendiriyor. Mayıs ayında EPA, İran ve Rusya’nın Su sistemlerine yönelik saldırılarını artırdı Amerika Birleşik Devletleri’nde Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) su ve atık su sektörü için siber olaylara müdahale rehberi yayınladı bu yılın başlarında.
EPA’nın Mayıs 2024 tarihli uyarısında “su sistemlerinin yetersiz risk ve dayanıklılık değerlendirmelerine ve acil müdahale planlarına sahip olduğu … [and] Varsayılan şifrelerin değiştirilmemesi, tüm personel için tek oturum açma bilgilerinin kullanılması ve eski çalışanların erişiminin kısıtlanmaması gibi en iyi uygulamalarda önemli hatalar tespit edildi.”
ABD’nin Su Sistemi Siber Savunmasına Daha Fazla Yatırım İhtiyacı Var
Google Cloud’dan D’Souza, mevcut gereksinimlere rağmen birçok su şirketinin siber güvenlik yükümlülüklerini yerine getiremediğini söylüyor.
“Düzenlemelerin artırılması bu sorunu çözmeyecek ve yalnızca kamu hizmetlerinin kritik altyapıyı yeterince korumasını engelleyen mali kısıtlamaları vurgulayacaktır” diyor.
Genel olarak, federal hükümetin düzenlemeler ve en iyi uygulamalar sunmaktan daha fazlasını yapması gerekiyor. Siber güvenlik danışmanlığı yapan NCC Group’un sanayi bölümü başkanı Sean Arrowsmith, su sektörünün pek çok açıdan, büyük miktarda operasyonel teknolojiye sahip diğer kritik altyapı sektörlerinden farklı olmadığını söylüyor.
“Genel olarak OT protokolleri, güvenliğin çok fazla önemsenmediği bir zamanda tasarlandı, ancak çalıştırdıkları cihazlar ve altyapı uzun bir kullanım ömrü boyunca dağıtılıyor ve artık onlardan veri toplayacak ve OT’yi BT ile bütünleştirecek iş sürücüleri var; güvenlik sorunları ortaya çıkıyor” diyor.
Ayrıca Arrowsmith, eski altyapı miktarının ve saldırı yüzey alanının genişliğinin su altyapısının güvenliğini sağlamayı zorlaştırmaya devam ettiğini söylüyor.