Kritik Altyapı Güvenliği
Uzmanlar Su Sektörünün Federal Taleplere Uyum Sağlayacak Teknik Kaynaklara Sahip Olduğunu Söyledi
Chris Riotta (@chrisriotta) •
21 Mart 2024
Biden yönetimi devletleri, sektörü artan siber tehditlere karşı daha iyi korumaya çağırırken, siber güvenlik uzmanları ülke genelinde su ve atık su tesislerinin yeterince finanse edilmediği konusunda alarm veriyor.
Ayrıca bakınız: Canlı Web Semineri | Tehditlerle Mücadele Edin, Direnç Oluşturun ve Verimli Bir Şekilde Uyun: Hindistan'ın Güvenli Siber Gelecek Mantrası
Yönetim, su sektöründe siber güvenliği artırmaya yönelik devam eden çabaları tartışmak üzere Perşembe günü sanal bir toplantı için devletin çevre, sağlık ve iç güvenlik kurumlarını bir araya getirdi. Toplantı, Beyaz Saray ve Çevre Koruma Ajansı'nın Salı günü tüm ABD valilerine gönderdiği, İran ve Çin hükümetleriyle bağlantılı bilgisayar korsanlarının ülke çapındaki içme suyu ve atık su sistemlerine önemli bir tehdit oluşturduğu konusunda uyarıda bulunan bir mektubun ardından geldi.
Mektupta, “İçme suyu ve atık su sistemleri siber saldırılar için çekici bir hedeftir çünkü bunlar hayati öneme sahip bir altyapı sektörüdür ancak çoğu zaman sıkı siber güvenlik uygulamalarını benimsemek için kaynak ve teknik kapasiteden yoksundur” deniyor.
Uzmanlar, Information Security Media Group'a ABD su ve atık su sektörünün, Çevre Koruma Ajansı ve Siber Güvenlik ve Altyapı Güvenliği aracılığıyla son yıllarda başlatılan çok çeşitli ücretsiz ve düşük maliyetli kaynaklara rağmen federal siber güvenlik tavsiyelerine uyum sağlayacak fon ve teknik kaynaklardan yoksun olduğunu söyledi. Ajans.
“Birçok durumda daha fazla teknik kaynağın sağlanması gerekiyor [or] Su Bilgi Paylaşımı ve Analiz Merkezi altyapı siber savunma direktörü Jennifer Lyn Walker, bu hizmetlerin en temel siber güvenlik temellerini bile fiilen uygulayabilmesi için sübvanse edildiğini söyledi.
CISA, temiz su ve içme suyu devlet döner sermayelerinin yanı sıra kamu hizmetleri için eyalet ve yerel siber güvenlik hibe programları oluşturmuştur. ABD siber savunma kurumu, internete yönelik güvenlik açıklarını arayan ücretsiz bir tarama hizmetinin yanı sıra, su yetkililerine yerel teknik yardım ve eğitim kaynakları da sunuyor.
FBI ve EPA ayrıca su ve atık su sektörü sahipleri ve operatörleri için bir dizi araç seti ve siber güvenlik olayı eylem kontrol listelerinin yanı sıra yerel personele teknik destek sağlayabilecek bir su ve atık su sistemleri sektörü siber güvenlik programı da sağlıyor.
Tehdit azaltma platformu Semperis'in baş teknoloji uzmanı Sean Deuby, “Eyalet ve yerel kurumlar finansman konusunda kronik olarak sıkışık durumda ve siber güvenlik, birkaç yıl önce çoğu kurumun bütçesinde bulunmayan bir kalem – pahalı bir kalem -” dedi. “CISA ve diğer devlet kurumları şu anda zamanında bilgi, öneri, bir miktar teknik yardım ve bir miktar finansman sağlıyor, ancak kurumlar tarihsel olarak hızlı tepki veren kuruluşlar değil.”
Yaklaşık 148.000 kamu su sistemini ve 52.000'den fazla toplumsal sistemi içeren ABD su sektörü, giderek yabancı düşmanların ve siber suçluların birincil hedefi olarak görülüyor. CISA, EPA ve FBI, Ocak ayında su ve atık su sistemlerinin olay müdahale planları oluşturmasına ve federal hükümetle bilgi paylaşımı çabalarını geliştirmesine yardımcı olmayı amaçlayan ortak bir olay müdahale kılavuzu yayınladı (bkz.: Yeni Kılavuz ABD Su Sektörünü Siber Dayanıklılığı Artırmaya Çağırıyor).
Uzmanlar uzun zamandır su sektörüne yönelik federal siber güvenlik talimatlarının genellikle eşlik eden finansman mekanizmalarının bulunmadığı konusunda uyarıyordu. Georgia Kırsal Su Derneği başkanı Rick Jeffares, ortalama işçinin 58 yaşında olduğu Georgia'da su sektörü işgücünün yaşlandığı konusunda Ocak ayında Kongre'ye ifade verdi.
Jeffares milletvekillerine şöyle konuştu: “Gerçek şu ki: Kırsal kurumların çoğu kendilerini savunacak finansal kaynaklara ve şirket içi uzmanlığa sahip değil.” Su Sektörü Liderleri Kongreyi Siber Talimatları Finanse Etmeye Çağırdı).
Uzmanlar ISMG'ye, daha büyük, daha iyi finanse edilen su otoritelerinin genellikle Beyaz Saray'ın eyalet valilerine yazdığı mektupta ortaya konan tavsiyeleri yeterince yerine getirmek için yeterli kaynak ve finansmana sahip olduğunu söyledi.
Mektupta “Eyaletinizdeki tüm su sistemlerinin mevcut siber güvenlik uygulamalarını kapsamlı bir şekilde değerlendirmesini sağlamak için desteğinize ihtiyacımız var” deniyor. “Çoğu durumda, varsayılan şifreleri sıfırlamak veya bilinen güvenlik açıklarını gidermek için yazılımı güncellemek gibi temel siber güvenlik önlemleri bile mevcut değildir ve işlerin olağan seyri ile yıkıcı bir siber saldırı arasındaki fark anlamına gelebilir.”
Yazılım güvenlik firması DomainTools'un güvenlik danışmanı Malachi Walker'a göre bilgisayar korsanları, Harrisburg, Pensilvanya'daki bir su filtreleme sisteminin kötü amaçlı yazılım bulaşmasından etkilendiği 2006 yılına kadar su sektörünü hedef alıyordu.
Walker, “Bu tehditlere ve etkilere rağmen enerji sektörüyle karşılaştırıldığında su ve su hizmetleriyle ilgili önemli ölçüde daha az düzenleme var” dedi. “Beyaz Saray ve EPA'nın, son zamanlarda kritik altyapı saldırılarında görülen artışa karşı bu sistemlerin sahip olduğu yetersiz korumalara dikkat çekmesi, su sektörü için siber dayanıklılığın güçlendirilmesinde çok önemli bir ilk adımdır.”