Yüzlerce ABD su kamu hizmeti, son derece hassas ekipmanlarının internetten erişilebildiğini keşfeden araştırmacılarla çalıştıktan sonra endüstriyel kontrol sistemlerinin güvenliğini artırdı.
Güvenlik firması Censys, 2024’ün sonlarında, işçilerin su tesislerinde ve diğer kritik altyapıdaki endüstriyel sistemleri kontrol etmelerini sağlayan yaklaşık 400 insan-makine arayüzünün keşfettiğini keşfetti. internette maruz kaldı. Araştırmacılar, bu HMI cihazlarından kırk “tarayıcısı olan herkes tarafından tamamen kimlik doğrulanmamış ve kontrol edilebilirdi” dedi.
Censys Çevre Koruma Ajansı ve HMI cihazının satıcısıyla koordine edildikten sonra, kamu hizmetleri sistemlerini güvence altına almaya başladı ve Mayıs ayı itibariyle Censys, “Sistemlerin% 6’sından daha azı salt okunur veya kimlik dışı bir durumda kalıyor.” Dedi.
Şirket, yaklaşık dörtte biri dokuz gün içinde sorunu çözdüğünü ve yaklaşık% 60’ının birkaç hafta içinde bunu yaptığını söyledi.
On binlerce kamu hizmetinden oluşan su sektörü, devlet bağlantılı tehdit gruplarından ve fidye yazılımı çetelerinden yıllarca süren siber saldırılarla karşılaştı. Siber uzmanlar bunu en savunmasız sektörlerden biri olarak görüyorlar, çünkü üyelerinin çoğu siber tehditleri ele almak için çok az fon veya uzmanlığa sahip. Censys raporu, sektörü rahatsız eden ciddi altyapı güvenlik açıklarının en son göstergesidir.
Censys araştırmacıları HMI cihazının üreticisiyle temasa geçtikten sonra, “kibar ama ılık bir yanıt” olduğunu söylediklerini aldılar. Daha sonra EPA ile temasa geçtiler ve “ilgi duydukları ve maruziyetleri düzeltmekle uğraştılar” dediler.
“Üretici ve EPA ile gündeme getirdiğimiz en büyük sorun, bu sistemlerin çoğunun iki eyaletten birinde olmasıydı: kimlik doğrulanmamış veya salt okunur,” PRincipal güvenlik araştırmacısı Emily Austin ve kıdemli güvenlik araştırmacısı Mark Ellzey e -posta yoluyla söyledi. “Her iki eyalet de bu sistemlerin konfigürasyonlarını görüntülemesine ve HMI’ları incelemesine izin veriyor; ancak, kimsenin kimsenin HMI’leri görüntülemesine ve sistem ayarlarında değişiklik yapmasına izin veriyor. ‘
Censys araştırmacıları HMI cihazının üreticisiyle temasa geçtikten sonra, “kibar ama ılık bir yanıt” olduğunu söylediklerini aldılar. Daha sonra EPA ile temasa geçtiler ve “ilgi duydukları ve maruziyetleri düzeltmekle uğraştılar” dediler.
Etkilenen sistemlerin tümü aynı tarayıcı tabanlı HMI/SCADA yazılımını kullandı ve 400 etkilenen yardımcı programdan sadece 95’i kimlik doğrulamasını sağladı. Başka bir 264 sistem, salt okunur erişime izin verecek şekilde yapılandırıldı, geri kalan 40’ın “hiç kimlik doğrulaması yoktu (yani varsayımsal olarak HMI’ya bağlı cihazları kontrol edebiliyoruz).”
Federal yetkililer daha önce hacktivistler hakkında uyarılmış ve zayıf sistem konfigürasyonları nedeniyle savunmasız su kamu hizmetlerini hedefleyen diğer gruplar.
EPA’lar Genel Müfettişlik Ofisi Kasım ayında, yaklaşık 26 milyon insanın kritik veya yüksek riskli güvenlik açıklarına sahip 96 kamu hizmetlerinde siber müdahalelerin etkilerine karşı savunmasız olduğunu gösteren bir rapor yayınlarken, 83 milyon kişi daha orta riskli, salt okunur maruziyetli kamu hizmetlerinden gelen sulara güveniyordu.
Bir EPA sözcüsü, Siber Güvenlik Dalışına e-posta yoluyla “Kamu su sistemleri ve atık su sistemleri ve atık su sistemleri de dahil olmak üzere kritik altyapı tesislerine karşı siber saldırılar, son birkaç yılda birkaç kat arttı ve güvenli içme suyu ve atık suyun tedavisini bozabilir veya kirletebilir” dedi.
Savunmasız HMI cihazları durumunda, üretici sonunda harekete geçti ve etkilenen yardımcı programları korumak için çok faktörlü kimlik doğrulaması da dahil olmak üzere çeşitli değişikliklerin uygulanmasına yardımcı oldu.