Kritik Altyapı Güvenliği, Standartlar, Düzenlemeler ve Uyumluluk
Missouri, Arkansas ve Iowa Başsavcılarının Açtığı Davaya Yanıt Olarak Teşkilat Hareketleri
David Perera (@daveperera) •
16 Ekim 2023
Biden yönetimi, federal yargıçların Çevre Koruma Ajansı’na bu çabaları durdurma talimatı vermesinden aylar sonra, siber güvenliği federal olarak su sistemlerine ilişkin güvenlik değerlendirmelerinin bir bileşeni haline getirme girişiminden geri adım atıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
EPA, operasyonel teknolojinin güvenliğini, kurumun “sıhhi araştırmalar” olarak adlandırdığı periyodik değerlendirmelerde bir faktör haline getirmek için bu yılın başlarında Güvenli İçme Suyu Yasası kapsamında yetkilere başvurdu (bkz: US EPA Siber Güvenlik Açısından Kamu İçme Suyunu Düzenliyor).
Hareket, Missouri, Arkansas ve Iowa başsavcılarının yanı sıra Amerikan Su İşleri Derneği ve Ulusal Kırsal Su Derneği endüstri lobi grupları tarafından da muhalefetle karşılandı. Üç eyalet tarafından Nisan ayında başlatılan ve EPA’yı yetkisini aşmakla suçlayan bir davaya yanıt olarak, ABD 8. Daire Temyiz Mahkemesi Temmuz ayında EPA’nın kararını geri çekti.
EPA, devam eden davaya atıfta bulunan 11 Ekim tarihli bir bildiriyle su sistemi güvenlik değerlendirmelerinin siber güvenlik bileşenini iptal etmeye karar verdi. Yönetici Yardımcısı Radhika Fox, “EPA, kamuya ait su sistemlerinde en iyi siber güvenlik uygulamalarını benimsemenin, güvenli ve güvenilir içme suyu sağlamak için gerekli olduğuna inanmaya devam ediyor” diye yazdı. “EPA, tüm eyaletleri, sıhhi araştırma kapsamında kamu su sistemi siber güvenlik programlarını incelemeye gönüllü olarak katılmaya teşvik ediyor.”
Iowa Başsavcısı Brenna Bird, Cuma günü siber güvenlik talimatının su faturalarının “hiçbir faydası olmadan” artmasına neden olacağını belirterek daha az üzgün bir ses çıkardı.
Siber güvenlik ve gelişen teknolojiden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, The Washington Post’a yaptığı açıklamada, Biden yönetiminin, siber güvenliği su güvenliğinin bir unsuru haline getirmesi için EPA’ya açıkça yetki veren yasayı takip edeceğini söyledi.
Bilgisayar korsanlarının içme suyuna müdahale edebileceğine dair endişeler, Florida’nın Oldsmar kentindeki şehir yetkililerinin 2021’de bir saldırganın belediye borularına tehlikeli seviyelerde sodalı su karıştırmasını engellemesinin ardından yeni bir aciliyet kazandı. O dönemde şehir yetkilileri, sistemdeki gereksiz kontrollerin kirli suyun halka ulaşmasını engelleyeceğini vurguladı (bkz: Hacker Florida Şehri’nin Su Arıtma Sistemini İhlal Etti).
Yine de, operasyonel teknolojiye gömülü artan ve kaçınılmaz ağ oluşturma işlevleri, hayati tehlikeden haylazlığa kadar uzanan bir yelpazedeki bilgisayar korsanlığının su kaynaklarını hala etkileyebileceğine dair alarmları artırdı. Yaygın olarak bahsedilen bir başka su sistemi hackleme olayı, daha önce Kansas’ın kırsal bir su bölgesinde yaklaşık 10.000 kişiye hizmet veren bir adamın, tesisi kapatmak için bir uzak masaüstü uygulaması için hala etkin olan kimlik bilgilerini kullandıktan sonra 2022’de kurcalama suçunu kabul etmesiyle ilgili.
EPA kuralları, Biden yönetiminin mevcut yetkilileri kullanarak siber güvenlik talimatlarını katmanlara ayırma çabasının bir parçasıydı (bkz: Biden Yönetimi Siber Güvenlik Gereksinimlerini Artırıyor).