Bir su tesisindeki bir siber saldırı, tüm toplulukları ve işletmeleri riske atabilir. Temiz su kaynağında kısa bir aksaklık bile ciddi halk sağlığı ve güvenlik sonuçlarına sahip olabilir ve tehdit aktörleri neden olabilecekleri hasarı bilirler.
Su kamu hizmetleri izole OT’den uzaklaşıyor ve onunla entegre olan daha dijital olarak bağlı sistemlere doğru ilerliyor. Bu değişim, daha doğru, gerçek zamanlı veriler elde etmelerine yardımcı olur. Bu teknolojiler verimliliği ve performansı artırırken, yeni siber risklerin kapısını da açarlar.
Su sistemleri genellikle diğer kritik altyapı türlerinden daha savunmasızdır, çünkü büyük ölçüde daha küçük kamu hizmeti sağlayıcıları tarafından belediyeye sahip olma veya işletme olasılıkları daha yüksektir. Yıllarca süren yatırım, bu küçük sağlayıcıları modernize etmek, yeni personeli işe almak veya daha güçlü siber güvenlik yeteneklerine yatırım yapmak için kaynaklar olmadan bırakmıştır. Ve en büyük tehlike burada olabilir.
Su tesislerine yönelik siber tehditler
CISA daha önce su ve atık su sistemlerinin saldırılara karşı savunmasız olduğu konusunda uyardı. Davetsiz misafirler genellikle sistemlerin internete maruz kaldığı veya hala varsayılan kimlik bilgilerini kullandığı eski veya teminatsız OT ve ICS ortamlarındaki güvenlik açıklarından yararlanırlar.
ABD Su İttifakı, ABD genelinde su hizmetinde bir günlük kesintinin 43,5 milyar dolarlık ekonomik faaliyette tehlikeye atabileceğini tahmin ediyor.
ABD Çevre Koruma Ajansı (EPA), yaklaşık 26.6 milyon kullanıcıya kritik veya yüksek riskli siber güvenlik açıklarına sahip olarak hizmet veren 97 içme suyu sistemini tespit etti.
Su hizmet liderleri özellikle fidye yazılımı, kötü amaçlı yazılım ve kimlik avı saldırıları konusunda endişeli.
ABD’deki en büyük su ve atık su kamu hizmeti şirketi olan American Water, şirketi bazı sistemlerini kapatmaya zorlayan bir siber güvenlik olayı yaşadı. Benzer bir olaydan kısa bir süre sonra, Arkansas City’nin su arıtma tesisini geçici olarak manuel operasyonlara geçmeye zorladı.
Bu saldırılar ABD ile sınırlı değil. Son zamanlarda, İngiltere merkezli Southern Water, suçluların BT sistemlerini ihlal ettiğini itiraf etti. Danimarka’da, bilgisayar korsanları su sağlayıcısı Fanø Vand’ın tüketici veri hizmetlerini hedef aldı ve veri hırsızlığı ve operasyonel kaçırma ile sonuçlandı. Bu olaylar bunun küresel bir risk olduğunu göstermektedir ve yetkililer bunların yabancı aktörlerin işi olabileceğine inanmaktadır.
Semperis’e göre, kamu hizmetlerine yönelik saldırıların% 60’ı ulus devlet grupları tarafından gerçekleştirildi. Büyük siber güçlerin yıllardır rakip altyapı içinde olduğuna inanılıyor ve daha sonra temel hizmetlerle uğraşabilecek kötü amaçlı yazılımlarda kayıyor.
Su altyapısının korunması operatör farkındalığı ile başlar
Su tesisleri üzerindeki siber saldırılar, topluluğun güvenliğini ve operatörlerin günlük çalışmalarını doğrudan etkiler. Bu nedenle operatörlerin uyanık ve hazırlıklı kalması çok önemlidir.
Operasyonel aksamalar: Saldırılar pompaları kapatabilir, kimyasal dozlamayı atabilir veya izleme sistemlerini devre dışı bırakabilir, bu da suyu güvende tutmayı ve sorunsuz bir şekilde akmayı zorlaştırır.
Halk sağlığı riskleri: Su arıtma süreçleri ile kurcalama, kontaminasyona yol açabilir ve topluluğdaki herkesi riske atabilir.
Artan baskı: Bir siber saldırıdan kurtulmak genellikle daha uzun saatler, acil sorun giderme ve acil müdahale ekipleriyle yakın koordinasyon anlamına gelir.
Operatörler ilk savunma hattıdır. Sistem hakkındaki bilgileri, siber tehditlerin farkında olmakla birlikte:
- Şüpheli etkinliği erken tespit etmek
- Güvenlik protokollerine bağlı kalmak
- Herhangi bir potansiyel soruna yanıt vermek
Su Sektörü Siber Güvenliğine Hükümet Yaklaşımları
AB, daha katı yaptırım ve temel hizmetlere uzun vadeli yatırımlarla siber güvenliğe ciddi bir yaklaşım benimsiyor. NIS2 Direktifi aracılığıyla Üye Devletlerin güvenlik standartlarına uymaları, olayları rapor etmeleri ve ulusal gözetim koordine etmeleri gerekmektedir. Bu adımlar, kamu hizmetlerinin savunmalarını güçlendirmesine ve esnekliği artırmasına yardımcı olmak için tasarlanmıştır.
Aynı zamanda ABD ters yönde ilerliyor gibi görünüyor. EPA’nın 2026 mali yılı için önerilen bütçesi, finansmanını%54 azaltarak 9.14 milyar dolardan 4,16 milyar dolara düşecek. Bu, ajansın son elli yılda gördüğü en büyük azalma olacaktır.
Bu kesintiler, federal hükümetin su sektöründeki siber güvenlik çabalarını, özellikle de yaşlanan altyapı ve sınırlı kaynaklarla ilgilenen küçük ve kırsal kamu hizmetleri için ciddi endişeler yaratıyor.
Ancak, bazı ABD eyaletleri boşluğu doldurmak için hızlanıyor. Örneğin, New York, kamu hizmetlerinin savunmalarını güçlendirmesine yardımcı olmak için bir hibe programının yanı sıra yeni siber güvenlik düzenlemeleri duyurdu.
Siber Güvenliği Artırma Adımları
İnternete maruz kalmayı sınırlayın: Denetleyiciler ve uzak birimler gibi operasyonel cihazlara genel internet erişimini azaltın. Riski en aza indirmek için internete maruz kalan varlıkları düzenli olarak tarayın ve ele alın.
Düzenli siber güvenlik değerlendirmeleri yapın: Zayıflıkları tanımlamak için hem operasyonel hem de BT sistemlerinin sık değerlendirmelerini yapın. Güvenlik açıklarını belirlemeye yardımcı olmak için mevcut değerlendirme araçlarını ve kaynaklarını kullanın.
Varsayılan şifreleri hemen değiştirin: Varsayılan şifreleri güçlü, benzersiz olanlarla değiştirin ve güvenliği güçlendirmek için mümkün olan yerlerde MFA’yı etkinleştirin.
Güncellenmiş bir varlık envanterini saklayın: Sisteminizi izlemeye ve yönetmeye yardımcı olmak için tüm operasyonel ve BT ekipmanlarının güncel bir listesini tutun.
Olay Yanıt Planları geliştirin ve test edin: Siber olaylara yanıt vermek ve iyileşmek için planlar oluşturun. Ekibinizin potansiyel tehditlere hazırlandığından emin olmak için bu planları düzenli olarak test edin.
Kritik sistemleri düzenli olarak yedekleyin: Bir saldırı durumunda veri bütünlüğünü korumak ve kurtarmayı desteklemek için önemli operasyonel ve BT sistemlerinin tutarlı yedeklemelerini gerçekleştirin.