Acil bir sanal toplantı Geçen hafta Beyaz Saray, Çevre Koruma Ajansı ile devlet iç güvenlik ve sağlık yetkilileri arasındaki anlaşmazlık, kamusal su endüstrisine yönelik kötü niyetli siber saldırı tehdidine en iyi nasıl yaklaşılacağına dair artan gerilimlerin olduğu bir ortamda ortaya çıktı.
Biden yönetimi Ekim 2023'te siber güvenliği dahil etme planlarını geri çekti ABD Temyiz Mahkemesi önünde çeşitli eyaletler ve sektör grupları tarafından yapılan başarılı yasal itirazın ardından kamu su sistemlerinin periyodik denetimlerinin bir parçası olarak.
Mahkeme itirazı Missouri, Iowa ve Arkansas'tan başsavcılar tarafından yürütüldü ve Amerikan Su İşleri Birliği ile Ulusal Kırsal Su Birliği tarafından desteklendi.
Ancak geçen yılın sonlarında tehdit gruplarının İran'ın İslam Devrim Muhafızları Ordusu'yla bağlantı kurmasıyla tehdit ortamı hızla arttı. Savunmasızları istismar ederek su tesislerine ve diğer kuruluşlara yönelik saldırılarla ABD'yi hedef almaya başladı Unitronics programlanabilir mantık kontrolörleri.
“Ülkenin su sistemleri hem suçlulardan hem de ülkelerden gelen siber tehditlerle karşı karşıyadır” dedi Anne Neuberger, siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı, EPA tarafından sağlanan bir okumaya göre. “Tehdidi karşılamak için dijital kapılarımızı kilitlememiz gerekiyor.”
Neuberger de konuştu EPA Yönetici Yardımcısı Janet McCabe Su sistemlerine yönelik artan tehditlerle ilgili olarak ülke genelindeki eyalet ve yerel yetkililere.
Tartışma, çeşitli eyaletlerin su sistemlerine yönelik tehdidi ve teknik uzmanlığa ve yerel su sistemlerinin ihtiyaç duyduğu diğer kaynaklara erişim zorluklarını ele almak için gösterdiği çabaları içeriyordu.
Neuberger, her eyaletten 20 Mayıs'a kadar içme ve atık su sistemlerine yönelik potansiyel siber güvenlik açıklarını nasıl ele aldıklarını ve korumaları uygulamaya koymak için ne gibi çabalar bulunduğunu ele alan bir plan paylaşmalarını istedi.
EPA yetkilileri ayrıca Su Sektörü Siber Güvenlik Görev Gücü oluşturmaya yönelik ek çabaların ana hatlarını çizdi.
Bir gerilim kıvılcımı
Aradaki gerginlik federal kurumlar ve yerel endüstri yetkilileri Ancak şaşırtıcı ya da beklenmeyen bir gelişme değil Bu topluluk su sistemlerinin birçoğu, tam zamanlı bir siber güvenlik uzmanına öncelik verecek finansman veya uzmanlığa sahip değil.
Washington'dan gelen yukarıdan aşağıya yetkilere de güven eksikliği var.
“Günümüzde her büyüklükteki kamu hizmeti kuruluşunun, mali ve siyasi gündemleri olan, motivasyonu yüksek rakiplerden gelen siber saldırılara karşı kendilerini savunan ön saflarda yer aldığını biliyoruz.” Katherine Ledesma, Dragos'ta kamu politikası ve hükümet işleri başkanıe-posta yoluyla söyledi.
“Özellikle su sektörüne baktığımızda ihtiyaç duydukları kaynaklara, araçlara ve uzmanlığa erişim konusunda benzersiz zorluklarla karşılaşıyorlar” dedi Ledesma. “Küçük kamu su sistemleri, ülkenin toplumsal su sistemlerinin %90'ından fazlasını temsil ediyor ve daha büyük kuruluşlarla aynı kaynaklara sahip değiller.”
Ocak ayındaki ifadede Meclis Çevre, Üretim ve Kritik Malzemeler Alt Komitesi huzurundaKansas Sağlık ve Çevre Departmanı kamu su temini bölümü şefi ve Eyalet İçme Suyu Yöneticileri Birliği'nin eski başkanı Cathy Tucker-Vogel, EPA'nın geçen yıl su şirketlerinin zorunlu denetimler yapmasına yönelik baskısıyla ilgili birçok endişeyi dile getirdi. sıhhi araştırmalar.
Tucker-Vogel Ocak ayında Temsilciler Meclisi alt komitesine yaptığı konuşmada, EPA yetkililerine bu endişelerle ilgili olarak gönderilen çok sayıda mektubu da içeren ifadeye göre, “EPA'nın yakın zamanda geri çekilen mutabakatı su sektörünün kapasitesini aştı ve önemli uygulama endişelerini artırdı” dedi.
Eyalet yetkilileri ve yerel yetkililer tarafından dile getirilen başlıca endişeler arasında siber güvenlik için mevcut fon miktarının sınırlı olması, konu uzmanlığının sınırlı olması ve sürekli eğitim ihtiyacı yer alıyor.
EPA, Siber Güvenlik ve Altyapı Güvenliği Ajansı ve diğer kurumlar, güvenlik açığı taraması, masa üstü tatbikatlar ve su tesislerinin kullanımına sunulan yerel fonlar şeklinde kapsamlı kaynaklar sağlıyor.
EPA'nın, ABD tarafından kullanılana benzer bir kamu-özel işbirliği modelini benimsemesi gerekiyor. elektrik enerjisi endüstrisibuna göre Mark Montgomery, Demokrasileri Savunma Vakfı Siber ve Teknoloji Yenilikleri Merkezi'nin kıdemli yöneticisi.
Montgomery, ne EPA'nın ne de su kuruluşlarının her su kuruluşunun zorunlu denetimlerini zorunlu kılacak kaynaklara sahip olmadığını söyledi. Ancak üzerinde anlaşmaya varılan değerlendirmelerin uygulanmasına yardımcı olmak için dışarıdan bir kamu özel kuruluşunun kurulabileceğini söyledi.
Montgomery, “Kamu-özel sektör işbirliği, birlikte çalışmanız, bir tür standart üzerinde anlaşmanız, bu üçüncü taraf değerlendirmelerini gerçekten yapabilecek bir kuruluşu harekete geçirmenin bir yolunu bulmanızdır” dedi.
Savunmasız bir sektöre yönelik çok uluslu tehdit
Moody's yetkililerinin de belirttiği gibi, su sektöründe son zamanlarda ABD'de ve yurtdışındaki müttefik ülkelerde fidye yazılımı saldırılarında bir artış görüldü; bu durum, belediyenin su bölümüne yönelik son saldırılarda da vurgulanmıştır. Veolia Kuzey Amerika Ve Güney Suyu İngiltere'de
Birleşik Krallık'taki siber güvenlik yetkilileri, su sektörüne yönelik artan tehditleri ele almak için özenle çalıştıklarını söyledi.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi sözcüsü e-posta yoluyla şunları söyledi: “Birleşik Krallık'ın kritik ulusal altyapısının çeşitli aktörlerden gelen kalıcı ve önemli bir siber tehditle karşı karşıya olduğunu ve temel hizmet sağlayıcıların çevrimiçi savunmalarını güçlendirmek için harekete geçmelerinin hayati önem taşıdığını biliyoruz.” .
NCSC ayrıca sektör rehberini de yayınladı 2023'te Unitronics PLC kullanıcılarını hedef alan kötü niyetli saldırı tehdidiyle ilgili. Ajans, kuruluşları, cihazları kullanan kuruluşlara yönelik tehdit faaliyetinin nasıl azaltılacağı konusunda ABD ve İsrail kurumları tarafından yayınlanan yönergeleri takip etmeye çağırdı. Cihazlar suyun yanı sıra sağlık, enerji ve yiyecek-içecek şirketleri tarafından da kullanıldı.
Moody's Ratings Başkan Yardımcısı Phil Cope'a göre Moody's, su ve atık su sektörlerini en yüksek saldırı riski taşıyan ilk beş sanayi sektöründen biri olarak görüyor.
Cope yaptığı açıklamada, “Sektör veri kayıt ekipmanları ve akıllı sayaçların kurulumu yoluyla giderek dijitalleştikçe su sektörünün riskleri de artıyor; kişi başına tüketimi azaltma ihtiyacı göz önüne alındığında bu eğilimin devam etmesini bekliyoruz” dedi.
Endüstri yetkilileri, içme ve atık su endüstrilerine karşı artan bir siber risk olduğu konusunda hemfikir olduklarını ancak federal hükümetin riskin nasıl azaltılacağına dair yeni kurallar dayatmak istiyorsa endüstriyi desteklemek için daha fazla kaynak bulması gerektiğini söyledi.
“Önemli olan şu ki, eğer bunun gerçekten işe yaramasını istiyorlarsa, eyaletlere para aktarmaları gerekiyor.” Alan Roberson, Devlet İçme Suyu Yöneticileri Birliği'nin genel müdürü, söz konusu.