Biden Yönetimi, 2021’den beri kritik altyapı için siber güvenliğe tamamen gönüllü bir yaklaşımın sınırlamaları ve stratejik bir değişime duyulan ihtiyaç hakkında sürekli olarak konuşuyor. Bu yeni odak noktasının en önemli öncelikleri arasında, siber güvenlik açısından kat etmesi gereken uzun bir yol olan Ulusun su sektörü yer alıyor.
Demokrasileri Savunma Vakfı 2021 yılında şunları ilan etti: “Su sektörünün siber güvenliği, ABD ulusal altyapısında zayıf bir halka olup, sağlık ve insan güvenliğini, ulusal güvenliği ve ekonomik istikrarı tehlikeye atmaktadır.”
Bu tanıma ve Su ve Atıksu Sektörü Risk Yönetimi Ajansı olarak hizmet veren ABD Çevre Koruma Ajansı’nın ve sektördeki kamu hizmetlerinin birçok çabasına rağmen, bu durum bugün büyük ölçüde değişmeden kalmıştır. Su sektöründeki kamu hizmetlerinin genişliği ve kapsamı, altyapı iyileştirmeleri ve temel teknoloji için yetersiz sermayelendirme, geniş çaplı güvenlik açıklarının devam ettiği anlamına gelir.
Bu, hem hükümetten hem de Dragos gibi açık kaynaklı istihbarat gruplarından gelen sürekli istihbarat raporlamasının, Çin hükümeti de dahil olmak üzere potansiyel rakiplerin ABD su altyapısına saldırmak için planlar geliştirmeye ilgi duyduğunu ortaya koymasıyla daha büyük bir endişe haline geldi. Su ve atık su altyapısını işletmek için kullanılan savunmasız operasyonel teknoloji sistemlerine yönelik saldırılar, suyun bulunabilirliğini önemli ölçüde etkileyebilir ve içme suyunun güvenliğini koruyan sistemleri tehdit edebilir. Sonuçlar, muhtemelen halkın korkusu ve ardından gelecek belirsizlik tarafından daha da artacaktır.
Deneyimli siber savunucular için su sektöründe siber güvenlik konusunda endişe yeni bir şey değil. Sektörde güvenlik kontrolleri, kültür, yetenek ve kapasitenin eksik olduğu konusunda uzun süredir bir fikir birliği var. Şu anda gelişmiş bir tehdit gibi görünen şeyle birlikte, mevcut yaklaşımı reddetme ve risk karşısında daha acil eylem çağrısında bulunma zamanı geldi.
Beş temel alana odaklanmamız gerekiyor:
- Siber güvenlikte operasyonel teknoloji, nesnelerin interneti ve endüstriyel kontrol sistemleri alanlarında ilerlemeye öncelik vermek.
- Bu tür teknolojilerin tedarik zinciriyle ilişkili riskleri izlemek için süreçlerin mevcut olduğundan emin olmak.
- Su siber güvenliği için yeni bir düzenleyici çerçeve oluşturulması.
- Su sistemlerini etkinleştirmek için temel dijital teknolojiye yönelik kanıtlanabilir yükseltmelere yapılan yatırımları artırmak amacıyla vergi ödemelerinden elde edilen altyapı yatırım dolarlarının kullanılması.
- Siber saldırılara rağmen su dağıtımının sürdürülebilmesi için siber dayanıklılık planlamasını güçlendirmek.
Bu önceliklerin uygulanması, su ve atık su tesislerinin işletilmesini sağlayan temel teknolojiyi güvence altına alan ve bireysel su tesislerinde güvenlik seviyelerini yükseltmeye yönelik bir stratejiyle sonuçlanacaktır. Bu, pazarı tasarıma göre daha güvenli ve varsayılan olarak daha güvenli teknolojilere yönlendirmek anlamına gelir.
Şimdi uygulanabilecek bir değişiklik, siber güvenlik gereksinimlerinin geliştirilmesine öncülük edecek, endüstri uzmanlığına dayanan ve elektrik sektöründen modellenen bağımsız bir kuruluşun oluşturulmasıdır. Temsilciler Meclisi, Su Riski ve Dayanıklılık Örgütü (WRRO) oluştururken böyle bir yaklaşım önerdi. Bu, sonuçları, gereksinimleri ve kontrolleri tehditlere ve güvenlik açıklarına bağlayabilecek daha çevik bir düzenleyici ortaklık yaratacaktır.
Su sektöründe, birçok kritik altyapı endüstrisinde olduğu gibi, siber güvenliğin iş çıkarlarıyla dengelenmesi gerekir ve kamu hizmetleri oranlarında geri kazanılması gereken yatırımlar olmadan elde edilemez. Önerilen Su Riski ve Dayanıklılık Örgütü’nün yapacağı şey, daha siber güvenli su tesisleri için gerekli olan güvenlik ve teknolojiler için savunulabilir bir standart belirlemek ve bu standartlara uyulmasını zorunlu kılmaktır. Bu daha sonra teknolojilerin etkinleştirilmesi için piyasa koşullarını belirleyecek ve oran düzenleyicilerine maliyetlerin makul olduğu ve kamu hizmetleri oranlarının bir parçası olması gerektiği konusunda güven verecektir.
Bir diğer alan ise dayanıklılığa vurgu yapılmasıdır. Dayanıklılık standartlarını zorunlu kılmak, su sektörü kuruluşlarının olayların su tedarikini etkilemesi durumunda dayanıklılığı planlama, uygulama ve oluşturma sorumluluklarına sahip olacağı anlamına gelir. Bu, bir siber olayın topluluklar üzerinde önemli bir zincirleme etkiye sahip olma olasılığını azaltır.
Bu tür akıllı güvenlik ve dayanıklılık düzenlemesi, tamamen gönüllü yaklaşıma hoş bir katkıdır. Siber güvenlik ve dayanıklılığı, özel uzmanlığa büyük ölçüde güvenerek “iş yapmanın maliyetine” entegre etmeyi amaçlamaktadır. Mevcut risk ortamı göz önüne alındığında, özellikle su sektörü için uygundur.
Günümüzün siber ve tedarik zinciri risk ortamı, pek çok konuda zorlukların üstesinden gelmek için yeni stratejiler, politikalar ve ilgili yapılar gerektiriyor.
Ülkenin liderleri, sistemin tehditler açısından “kırmızı ışık saçtığını” açıkça belirttiler. Bunları ele almak için gereken ilgili değişikliklerin uygun aciliyetle karşılanması gerekiyor.
yazar hakkında
Bob Kolasky, Exiger’da Kritik Altyapı Kıdemli Başkan Yardımcısıdır ve kritik altyapı topluluğu için son teknoloji üçüncü taraf ve tedarik zinciri risk yönetimi teknolojisinin geliştirilmesini yönetir. Bob, yirmi yılı aşkın deneyime sahip, yaygın olarak tanınan bir uzmandır. Carnegie Endowment’ın Uluslararası Barış Teknolojisi ve Uluslararası İlişkiler Programı’nda Yerleşik Olmayan Akademisyen, CSIS Kıdemli Ortağı ve Auburn Üniversitesi McCrary Enstitüsü’nde Kıdemli Üyedir. Bob ayrıca OECD’nin Yüksek Düzeyli Risk Forumu Başkanlığı’nı da yapmıştır. CISA’nın Ulusal Risk Yönetimi Merkezi’nin kurucu Direktörüydü ve burada Bilgi ve İletişim Teknolojileri Tedarik Zinciri Risk Yönetimi Görev Gücü’ne eş başkanlık etti. Kariyeri boyunca DHS, GAO, Abrams Learning & Information Systems ve Booz Allen Hamilton gibi devlet kurumları ve müteahhitler için çalıştı.
Bob Kolasky’ye LinkedIn’den ve şirketimizin web sitesi https://www.exiger.com/ adresinden çevrimiçi olarak ulaşılabilir.