Kritik Altyapı Güvenliği
Yetkililer, Su ve Atık Su Sektörünün Artan Siber Güvenlik Riskleriyle Karşı Karşıya Olduğu Uyarısında Bulundu
Chris Riotta (@chrisriotta) •
31 Ocak 2024
Yetkililer Çarşamba günü yaptıkları açıklamada, ABD genelindeki küçük ve kırsal su sistemlerinin, sektör giderek daha fazla iç ve dış tehditlerle karşı karşıya olmasına rağmen siber güvenliği artıracak finansman ve teknik uzmanlığa sahip olmadığını ifade etti.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Çeşitli su ve atık su sistemlerinin başkanları, Temsilciler Meclisi Enerji ve Ticaret alt komitesine çevre, üretim ve kritik malzemelerle ilgili olarak sektörün siber tehditleri yeterince tanımlamak ve azaltmak için kaynaklarda büyük eşitsizliklerle karşı karşıya olduğunu söyledi.
Georgia Kırsal Su Derneği başkanı Rick Jeffares, devlet çalışanlarının ve yerel kurumların “iş yüklerine siber güvenlik uygulamalarını ekleyecek kaynaklara ve uzmanlığa sahip olmadıklarını” söyledi.
Jeffares milletvekillerine, “Gerçek şu ki, çoğu kırsal kamu hizmeti kuruluşu kendilerini siber saldırılara karşı koruyacak mali kaynaklara ve şirket içi uzmanlığa sahip değil” dedi. Gürcistan’da su sektörü işgücü yaşlanıyor ve ortalama işçi 58 yaşında. “Yeni nesil su operatörlerinin benim sahip olduğumdan daha yüksek düzeyde bilgisayar ve siber bilgi birikimine sahip olacağını tahmin ediyoruz ancak bu arada hepimizin güçlü siber güvenlik planlarını uygulamayı öğrenmeye devam etmesi gerekiyor.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı geçtiğimiz günlerde su sektörünü, ülkenin 150.000’den fazla kamu su sisteminin çoğu için, özellikle de küçük ve kırsal bölgelerdekiler için mevcut mali ve teknik kaynakların sınırlı olması nedeniyle “hedef açısından zengin, kaynak bakımından fakir” bir endüstri olarak tanımladı. topluluklar.
2021 Altyapı Yatırımı ve İş Yasası, su sisteminin siber güvenlik risklerini azaltmayı amaçlayan projeleri desteklemek için 10.000 veya daha fazla kişiden oluşan topluluklara hizmet veren kamu su sistemlerine hibe yardımı sunan bir Çevre Koruma Ajansı girişimi için beş yıl içinde 250 milyon dolar yetki verdi.
Ancak Tacoma Water’ın müfettişi ve baş işletme sorumlusu Scott Dewhirst’e göre Kongre, program için yalnızca 5 milyon dolar tahsis etti.
Dewhirst milletvekillerine şöyle konuştu: “Programın tamamen finanse edilmesi – veya en azından yıllık 50 milyon dolarlık yetkiye yakın bir düzeyde ödenek sağlanması – siber savunmalarını geliştirmek için bu kaynaklardan yararlanabilecek su sistemlerinin sayısını büyük ölçüde artıracaktır.”
Hükümet gözlemcileri, federal hükümete su ve atık su siber güvenlik çabalarını iyileştirme çabalarını daha iyi senkronize etmesi çağrısında bulundu (bkz: Watchdog, ABD CISA’nın Su Sektörü Yardımını İyileştirmesi Gerektiğini Söyledi). ABD siber ajansı, bu ayın başlarında EPA ve FBI ile birlikte su ve atık su sistemi sahiplerini ve operatörlerini kurumsal düzeyde olay müdahale planları geliştirmeye ve güçlü siber güvenlik temel standartları oluşturmaya çağıran bir olay müdahale kılavuzu yayınladı.
Kılavuzda “Siber tehdit aktörleri tek başarısızlık noktalarının farkındadır ve kasıtlı olarak bunları hedef almaktadır” ifadesine yer veriliyor. “Su ve atık su sektörü organizasyonunda bir uzlaşma veya başarısızlık, sektör ve diğer kritik altyapı sektörleri genelinde kademeli etkilere neden olabilir” (bkz.: Yeni Kılavuz ABD Su Sektörünü Siber Dayanıklılığı Artırmaya Çağırıyor).
Duruşma, son aylarda çok sayıda ABD su tesisini hedef alan siber saldırılarda yaşanan artışın ardından geldi; buna “Cyber Av3ngers” olarak bilinen İranlı bir bilgisayar korsanlığı grubunun dahil olduğu ve Pensilvanya’daki küçük bir belediye su idaresini hedef alan ve İsrail’in sahip olduğu yazılımı kullanan bir olay da dahil. tesisleri (bkz: İranlı Hacker Grubu Pensilvanya Su Kurumuna Saldırdı).
Amerikan Su İşleri Birliği federal ilişkiler müdürü Kevin Morley, “Sektörümüzdeki daha küçük sistemler, bütçeleri önemli ölçüde kısıtlıyor ve birden fazla düzenlemeye uymak için yeni yükümlülükleri dikkate almak zorunda” dedi. Morley, yakın zamanda revize edilen kurşun ve bakır kurallarına ve beklemede olan PFAS standartlarına uymayı hedeflerken su sistemlerinin halihazırda zor durumda olduğunu belirtti.
Morley, “Diğer kritik altyapı sektörlerinden farklı olarak bugüne kadar su sistemlerinde teknoloji yükseltmelerini hızlandırmak için özel bir finansman sağlanmadı” diye ekledi. “Eğer su sektörü gerçekten bir ulusal güvenlik önceliği ise, o zaman bu teknoloji yükseltmelerini hızlandırmak, bu dijital uçurumu cezalandırıcı olmayan bir şekilde ele almak ve hizmet ettiğimiz topluluklara olan ortak taahhüdümüzü yerine getirmek için desteğe ihtiyacımız olacak.”