Kiberuzbrukumi pret ūdensapgādes uzņēmumiem kļūst biežāki un nopietnāki
Vides aizsardzības aģentūra (EPA) pirmdien brīdināja, ka kiberuzbrukumi pret ūdensapgādes uzņēmumiem visā valstī kļūst arvien biežāki un smagāki, izdodot izpildes brīdinājumu, kurā aicina ūdens sistēmas nekavējoties veikt pasākumus, lai aizsargātu valsts dzeramo ūdeni.
Ūdensapgādes uzņēmumu pārbaudes
Aptuveni 70% pēdējā gadā federālo amatpersonu pārbaudīto ūdensapgādes uzņēmumu ir pārkāpuši standartus, kas paredzēti, lai novērstu ielaušanos vai citas iejaukšanās. Amatpersonas aicināja pat mazus ūdens sistēmu uzņēmumus uzlabot aizsardzību pret hakeru uzbrukumiem. Nesenos kiberuzbrukumos ir mērķēti mazākas kopienas, un tie ir saistīti ar grupām, kas afiliētas ar Krieviju un Irānu.
Ūdens sistēmu trūkumi
Dažas ūdens sistēmas nepilda pamata prasības, tostarp nespēj mainīt noklusējuma paroles vai atslēgt piekļuvi bijušajiem darbiniekiem. Tā kā ūdensapgādes uzņēmumi bieži vien izmanto datorprogrammatūru ūdens attīrīšanas iekārtu un izplatīšanas sistēmu darbībai, ir svarīgi aizsargāt informācijas tehnoloģijas un procesu vadības sistēmas, norāda EPA. Iespējamās kiberuzbrukumu sekas ietver pārtraukumus ūdens attīrīšanai un uzglabāšanai, sūkņu un vārstu bojājumus, kā arī ķīmisko vielu līmeņa izmaiņas bīstamā apjomā.
“Daudzos gadījumos sistēmas nedara to, ko tām vajadzētu darīt, proti, veikt riska novērtējumu par savām neaizsargātībām, kas ietver kiberdrošību, un nodrošināt, ka šis plāns ir pieejams un ietekmē to darbības veidu,” sacīja EPA vietniece Dženeta Makkeiba.
Privāto grupu un indivīdu mēģinājumi
Mēģinājumi no privāto grupu vai indivīdu puses iekļūt ūdensnodrošinājuma uzņēmuma tīklā un izslēgt vai sabojāt tīmekļa vietnes nav jaunums. Tomēr nesen hakeri nav tikai mērķējuši tīmekļa vietnes, bet arī uzņēmumu operatīvo darbību.
Geopolitiskie konkurenti
Nesenos uzbrukumos iesaistītas ne tikai privātas entītes. Daži neseni ūdensapgādes uzņēmumu hakeru uzbrukumi ir saistīti ar ģeopolitiskiem konkurentiem un var izraisīt droša ūdens piegādes traucējumus mājokļiem un uzņēmumiem.
EPA nav norādījusi, cik daudz kiberincidentu ir notikuši pēdējos gados, un zināmo veiksmīgo uzbrukumu skaits pagaidām ir mazs.
Makkeiba nosauca Ķīnu, Krieviju un Irānu kā valstis, “kas aktīvi meklē spēju atspējot ASV kritisko infrastruktūru, tostarp ūdens un notekūdeņu.”
Kiberuzbrukumu sekas
Izpildes brīdinājums ir paredzēts, lai uzsvērtu kiberdraudu nopietnību un informētu ūdensapgādes uzņēmumus par to, ka EPA turpinās savas inspekcijas un vajadzības gadījumā piemēros civiltiesiskas vai krimināltiesiskas sankcijas.
“Mēs vēlamies nodrošināt, ka cilvēki saprot, ka ‘Hei, mēs atrodam daudz problēmu šeit,’ ” sacīja Makkeiba.
Uzbrukumu novēršana
Uzbrukumu novēršana ūdensapgādes uzņēmumiem ir daļa no plašāka Baidena administrācijas centiena cīnīties pret draudiem kritiskajai infrastruktūrai. Februārī prezidents Džo Baidens parakstīja izpildrakstu, lai aizsargātu ASV ostas. Veselības aprūpes sistēmas ir tikušas uzbruktas. Baltais nams ir mudinājis elektroenerģijas uzņēmumus palielināt savu aizsardzību. EPA vadītājs Maikls Regans un Baltā nama nacionālais drošības padomnieks Džeiks Salivans ir lūguši štatiem izstrādāt plānu kiberuzbrukumu apkarošanai dzeramajam ūdenim.
“Dzeramais ūdens un notekūdeņu sistēmas ir pievilcīgs mērķis kiberuzbrukumiem, jo tās ir dzīvotspējas kritiskais infrastruktūras sektors, bet bieži vien trūkst resursu un tehniskas kapacitātes, lai ieviestu stingras kiberdrošības prakses,” rakstīja Regans un Salivans 18. marta vēstulē visiem 50 ASV gubernatoriem.
Daži risinājumi ir vienkārši, sacīja Makkeiba. Piemēram, ūdensapgādes uzņēmumiem nevajadzētu izmantot noklusējuma paroles. Tiem jāizstrādā riska novērtējuma plāns, kas ietver kiberdrošību, un jāizveido rezerves sistēmas. EPA apgalvo, ka bez maksas apmācīs ūdensapgādes uzņēmumus, kuriem nepieciešama palīdzība. Lielajiem uzņēmumiem parasti ir vairāk resursu un ekspertīzes aizsardzībai pret uzbrukumiem.
“Ideālajā pasaulē … mums visiem būtu jābūt pamata līmeņa kiberdrošībai un jāvar apstiprināt, ka tajos ir šis līmenis,” sacīja Alans Robersons, Valsts dzeramā ūdens administratoru asociācijas izpilddirektors. “Bet tas ir tālu no realitātes.”
Pamata barjeras
Dažas barjeras ir pamatotas. Ūdens sektors ir ļoti sadrumstalots. Ir aptuveni 50 000 kopienas ūdensapgādes uzņēmumu, lielākoties kalpojoši mazpilsētai. Neliels personāls un niecīgie budžeti daudzviet padara grūtu pat pamatprincipu uzturēšanu – nodrošinot tīru ūdeni un sekojot līdzi jaunajiem noteikumiem.
“Protams, kiberdrošība ir daļa no tā, bet tas nekad nav bijis viņu galvenais ekspertīzes jautājums. Tad nu jūs lūdzat ūdensapgādes uzņēmumam izveidot šo pilnīgi jauno departamentu” kiberdraudu apkarošanai, sacīja Ejmijs Hardbergers, ūdens eksperts no Teksasas Tehnoloģiju universitātes.
EPA grūtības
EPA ir saskarusies ar grūtībām. Valstis periodiski pārskata ūdensapgādes uzņēmumu sniegumu. 2023. gada martā EPA instruēja valstis pievienot kiberdrošības novērtējumus šiem pārskatiem. Ja tika konstatētas problēmas, valstij bija jāuzliek uzlabojumi.
Tomēr Misūrija, Arkanzasa un Aiova kopā ar Amerikas Ūdens darbu asociāciju un vēl vienu ūdens nozares grupu tiesvedībą apstridēja instrukcijas tiesas ceļa ar argumentu, ka EPA saskaņa ar Drošo dzeramo ūdeni likumu nav pilnvarota to darīt. Pēc tiesas neveiksmes EPA atsauca savas prasības, bet tomēr mudinaja valstis veikt brīvpratigus pasakumus.
Drošo dzeramo ūdeni likums prasa noteiktiem ūdensapgades uzņemumiem izstradat planus dažiem draudiem un apliecinat to izdarisanu. Bet tas spes ir ierobežots.
“Likumos nav pilnvaru (kiberdrošibai),” sacija Robersons.
Industrijas grupa
Amerikas Ūdens darbu asociacijas federaciju attiecibu menedzeris Kevins Morlijs teica, ka dažiem ūdensapgades uzņemumiem ir komponentes kas pieslegtas internetam – izplatita bet nozimiga neaizsargatiba. Sistemu parveidosana var but nozimigs un dargs darbs. Bez butiskiem federaliem finansejumiem ūdens sistemam gruti atrast resursus.
Industrijas grupa ir publicejusi vadlinijas utilitatem un aicina izveidot jaunu organizaciju no kiberdrošibas un ūdens ekspertiem kas izstradas jaunas politikas un tos piemerot sadarbiba ar EPA.
“Iesim visus lidzi sapratiga veida,” teica Morlijs piebilstot ka mazam un lielam utilitatem ir atskirigas vajadzibas un resursi.
