Kritik Altyapı Güvenliği
DHS Genel Müfettiş Ofisi, EPA ile Koordinasyon Eksikliğini Buluyor
David Perera (@daveperera) •
12 Ocak 2024
ABD’li bir federal gözlemci, hükümet kurumlarının su ve atık su sektörü siber güvenlik çabalarını iyileştirme çabalarını daha iyi senkronize edebileceğini söyledi ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı Çevre Koruma Ajansı ile iyi koordinasyon sağlayamadığı için suçladı.
Ayrıca bakınız: Forrester Wave™ IaaS Platformu Yerel Güvenlik Raporu
İç Güvenlik Bakanlığı Genel Müfettişliği tarafından hazırlanan bir rapor, iki kurum arasında iletişim eksikliği olduğunu gösteriyor. Raporda “CISA yetkilileri, EPA ile işbirliğini geliştirme ve su sektörü için daha iyi ürünler üretme ihtiyacını kabul etti” ifadesi yer alıyor. CISA bir DHS bileşenidir.
Su ve atık su, ABD’deki 16 kritik altyapı sektöründen biridir ancak esas olarak belediye ve ilçe yönetimleri tarafından işletilmektedir. Finansman eksiklikleri genellikle eskiyen BT altyapısına ve zayıf siber güvenliğe veya operatörlerin su kontrol sistemlerine uzaktan bağlanan insan-makine arayüzlerine sahip daha yeni ekipmanların riskleriyle baş etmeye hazırlıksız personele neden oluyor.
Biden yönetimi geçen yıl siber güvenliği, su sistemlerinin federal olarak zorunlu kılınan güvenlik değerlendirmelerinin bir bileşeni haline getirmeye çalıştı, ancak federal yargıçların, EPA’nın konuyu zorlama yetkisine sahip olmadığını iddia eden eyalet başsavcılarının yanında yer almasının ardından geri adım attı (bkz.: US EPA Su Sistemlerine İlişkin Siber Güvenlik Değerlendirmelerini Nixes).
Bilgisayar korsanlarının içme suyuna müdahale edebileceğine dair endişeler, 2021 yılında Oldsmar, Florida’daki şehir yetkililerinin bir saldırganın belediye borularına tehlikeli seviyelerde sodalı su karıştırmasını engellemesinin ardından aciliyet kazandı; güvensiz su hiçbir zaman musluk suyuna karışmadı. Oldsmar’dan bir yetkilinin olayın bir siber saldırı olup olmadığı konusunda şüphe uyandırdığı ve bunun aslında bir çalışan hatası olduğunu belirttiği bildirildi.
Amerika Birleşik Devletleri’nde yaklaşık 50.000 topluluk su sistemi ve 16.000’den fazla kamuya ait atık su arıtma sistemi bulunmaktadır.
OIG, CISA’nın EPA ile ilgili her kurumun rollerini belgeleyen ve işbirliği için mekanizmalar oluşturan bir mutabakat zaptı geliştirmesini tavsiye etti. Denetçiler, CISA’nın her bölümünün başka bir bölümün EPA ile ne zaman bağlantı kurduğunu bilmediğini ve bu durumun iç koordinasyonun etkisiz olmasına yol açtığını söyledi. CISA, mutabakatı 31 Ekim’e kadar tamamlama sözü verdi.
OIG ayrıca, CISA’nın, her kritik altyapı sektörü ile onun hükümetteki mevkidaşı arasında aracı görevi gören kamu-özel kurumu olan su sektörü koordinasyon konseyiyle işbirliğine yönelik politikalar geliştirebileceğini söyledi.
Bir su konseyi üyesi denetçilere endişelerinin her zaman CISA’ya ulaşmadığını ve su sistemlerinin CISA’nın ürün ve hizmetlerini her zaman iyi anlamadığını söyledi. Su yetkilileri ayrıca CISA’nın su sistemi yardımını nasıl geliştirdiği konusunda daha fazla söz sahibi olmak istiyor ve denetçilere, kendilerine danışıldığında herhangi bir değişiklik yapmak için genellikle çok geç olduğunu söylediler. Bunun “su sektörünün ihtiyaçlarını yalnızca kısmen karşılayan veya kullanıcı dostu olmayan CISA ürün ve hizmetleriyle” sonuçlandığını söylediler.
CISA, ajans ve konsey ile etkileşime yönelik politikaları destekleyerek EPA ile olan mutabakatını takip etme sözü verdi.