Kiberuzbrukumi pret ūdensapgādes uzņēmumiem kļūst biežāki un smagāki
Vašingtona – Kiberuzbrukumi pret ūdensapgādes uzņēmumiem visā valstī kļūst arvien biežāki un smagāki, brīdināja Vides aizsardzības aģentūra pirmdien, izdodot paziņojumu, kurā aicina ūdens sistēmas nekavējoties veikt pasākumus, lai aizsargātu valsts dzeramo ūdeni.
Apdraudējumi ūdensapgādes sistēmām
Aptuveni 70% federālo amatpersonu pārbaudīto uzņēmumu pēdējā gadā ir pārkāpuši standartus, kas paredzēti, lai novērstu pārkāpumus vai citas iejaukšanās, teica aģentūra. Amatpersonas aicināja pat mazus ūdens sistēmas uzlabot aizsardzību pret hakeru uzbrukumiem. Nesenos kiberuzbrukumos, ko veikušas ar Krieviju un Irānu saistītas grupas, tika mērķētas mazākas kopienas.
Dažas ūdens sistēmas nepilda pamata prasības, tostarp nespēj mainīt noklusējuma paroles vai atslēgt piekļuvi sistēmai bijušajiem darbiniekiem. Tā kā ūdensapgādes uzņēmumi bieži izmanto datorprogrammatūru, lai vadītu attīrīšanas iekārtas un izplatīšanas sistēmas, ir būtiski aizsargāt informācijas tehnoloģijas un procesu kontroles, teica EPA. Iespējamās kiberuzbrukumu sekas ietver pārtraukumus ūdens attīrīšanai un uzglabāšanai; sūkņu un vārstu bojājumi; un ķīmisko vielu līmeņa izmaiņas bīstamā apjomā, norādīja aģentūra.
“Daudzos gadījumos sistēmas nedara to, ko tām vajadzētu darīt, proti, veikt riska novērtējumu par savām ievainojamībām, kas ietver kiberdrošību, un nodrošināt, ka šis plāns ir pieejams un informē par to, kā viņi veic savu darbību,” teica EPA vietniece Dženeta Makkeiba.
Nesenos uzbrukumos nav tikai privātas entītes. Daži nesenie ūdensapgādes uzņēmumu hakeru uzbrukumi ir saistīti ar ģeopolitiskiem konkurentiem un var novest pie droša ūdens piegādes pārtraukšanas mājokļiem un uzņēmumiem.
Makkeiba nosauca Ķīnu, Krieviju un Irānu kā valstis, kas “aktīvi meklē spēju atspējot ASV kritisko infrastruktūru, tostarp ūdens un notekūdeņu”.
Preventīvie pasākumi
Daži risinājumi ir vienkārši, teica Makkeiba. Piemēram, ūdensapgādes uzņēmumiem nevajadzētu izmantot noklusējuma paroles. Viņiem ir jāizstrādā riska novērtējuma plāns, kas risina kiberdrošību un jāizveido rezerves sistēmas. EPA saka, ka bez maksas apmācīs ūdensapgādes uzņēmumus, kuriem nepieciešama palīdzība. Lielajiem uzņēmumiem parasti ir vairāk resursu un ekspertīzes, lai aizsargātos pret uzbrukumiem.
“Ideālajā pasaulē … mēs vēlētos, lai visiem būtu pamata līmeņa kiberdrošība un spēja apstiprināt, ka viņiem tā ir,” teica Alans Robersons, Valsts dzeramā ūdens administratoru asociācijas izpilddirektors. “Bet tas ir tālu no realitātes.”
Daži šķēršļi ir pamatoti. Ūdens sektors ir ļoti sadrumstalots. Ir aptuveni 50 000 kopienas ūdensapgādes uzņēmumu, lielākoties kalpojot mazpilsētām. Nelielais personāls un niecīgie budžeti daudzviet padara grūti pat uzturēt pamatus – nodrošinot tīru ūdeni un sekojot līdzi jaunākajiem noteikumiem.
“Protams, kiberdrošība ir daļa no tā, bet tas nekad nav bijis viņu galvenais ekspertīzes jautājums. Tātad tagad jūs lūdzat ūdensapgādes uzņēmumam izveidot šo pilnīgi jaunu veida nodaļu” cīņai ar kiberdraudiem, teica Amija Hardbergera, ūdens eksperte Teksasas Tehnoloģiju universitātē.
EPA darbības
EPA ir saskārusies ar aizkavēšanos. Valstis periodiski pārskata ūdensapgādes uzņēmumu sniegumu. 2023. gada martā EPA instruēja valstis pievienot kiberdrošības novērtējumus šiem pārskatiem. Ja tika konstatētas problēmas, valstij bija jāuzliek uzlabojumi.
Paziņojums ir domāts, lai uzsvērtu kiberdraudu nopietnību un informētu ūdensapgādes uzņēmumus par to, ka EPA turpinās savas inspekcijas un vajadzības gadījumā piemēros civiltiesiskas vai kriminālatbildības sankcijas.
“Mēs vēlamies nodrošināt, lai cilvēki saprotu, ka ‘Ejiet, mums šeit ir daudz problēmu,'” teica Makkeiba.
EPA nav norādījusi, cik daudz kiberincidentu ir notikuši pēdējos gados, un zināmo veiksmīgo uzbrukumu skaits pagaidām ir mazs. Aģentūra kopš 2020. gada ir izdevusi gandrīz 100 paziņojumus par riska novērtējumiem un ārkārtas reaģēšanu, bet teica, ka tas ir tikai neliels draudu attēls, ar ko saskaras ūdens sistēmas.
Uzbrukumu novēršana pret ūdensapgādes uzņēmumiem ir daļa no Baidena administrācijas plašajiem centieniem cīnīties pret draudiem kritiskajai infrastruktūrai. Februārī prezidents Džo Baidens parakstīja rīkojumu aizsargāt ASV ostas. Veselības aprūpes sistēmas ir uzbrukušas. Baltais nams ir mudinājis elektroenerģijas uzņēmumus palielināt savas aizsardzības līdzekļus arī. EPA administrators Maikls Regans un Baltā nama nacionālais drošības padomnieks Džeiks Salivans ir lūguši valstis izstrādāt plānu cīņai pret kiberuzbrukumiem dzeramajam ūdenim.
“Dzeramais ūdens un notekūdeņu sistēmas ir pievilcīgs mērķis kiberuzbrukumiem, jo tās ir dzīvotspējas kritiskais infrastruktūras sektors, bet bieži vien trūkst resursu un tehniskas kapacitātes pieņemt stingras kiberdrošības prakses,” Regans un Salivans rakstīja 18. marta vēstulē visiem 50 ASV gubernatoriem.
