Tudomány és technológia

Az Egyesült Államok szerint a vízellátás elleni kibertámadások száma növekszik, és a közműveknek többet kell tenniük ezek megállításáért

Associated PressSave article
Az Egyesült Államok szerint a vízellátás elleni kibertámadások száma növekszik, és a közműveknek többet kell tenniük ezek megállításáért

WASHINGTON (AP) – A vízszolgáltatók elleni kibertámadások egyre gyakoribbak és súlyosabbak lesznek – figyelmeztette a Környezetvédelmi Ügynökség hétfőn, amikor végrehajtási figyelmeztetést adott ki, amelyben felszólította a vízrendszereket, hogy azonnali lépéseket tegyenek az ország ivóvizének védelmére.

Az elmúlt évben a szövetségi tisztviselők által ellenőrzött közműszolgáltatók mintegy 70 százaléka megsértette azokat a szabványokat, amelyek a sértések vagy egyéb behatolások megelőzésére szolgálnak – közölte az ügynökség. A tisztviselők még a kis vízrendszereket is arra ösztönözték, hogy javítsák a hackelések elleni védelmet. A közelmúltban Oroszországhoz és Iránhoz kötődő csoportok által kibertámadások kisebb közösségeket céloztak meg.

Néhány vízrendszer alapvető szempontból elmarad, mondta a riasztás, többek között az alapértelmezett jelszavak megváltoztatásának vagy a korábbi alkalmazottak rendszerhozzáférésének elhanyagolásának hiányában. Mivel a vízszolgáltatók gyakran számítógépes szoftverekre támaszkodnak a tisztítótelepek és elosztó rendszerek működtetéséhez, az EPA szerint az információs technológia és a folyamatvezérlés védelme kulcsfontosságú. A kibertámadások lehetséges hatásai közé tartozik a vízkezelés és tárolás megszakítása, szivattyúk és szelepek károsodása, valamint a vegyi szintek veszélyes szintre történő módosítása – közölte az ügynökség.

"Sok esetben a rendszerek nem azt teszik, amit kellene, vagyis elvégezik a sebezhetőségeik kockázatértékelését, beleértve a kiberbiztonságot is, és biztosítani, hogy ez a terv elérhető legyen, valamint tájékoztatja az üzleti tevékenységüket" – mondta Janet McCabe, az EPA helyettes igazgatója.

Magáncsoportok vagy magánszemélyek próbálkozásai a vízszolgáltatók hálózatába való belépésre és weboldalak lebontására vagy megrongálására nem újdonságok. Az utóbbi időben azonban a támadók nemcsak weboldalakat támadtak, hanem inkább a közművek működését is célozták meg.

A legutóbbi támadások nem csak magánszemélyek történnek. Néhány friss vízszolgáltatói feltörés geopolitikai riválisokhoz kapcsolódik, és okozhatja a biztonságos vízellátás megzavarását otthonok és vállalkozások számára.

McCabe asszony Kínát, Oroszországot és Iránt nevezte meg azoknak az országoknak, amelyek "aktívan keresik az amerikai kritikus infrastruktúra, köztük a vizet és a szennyvizet, letiltásának képességét."

Tavaly év végén egy iránihoz köthető csoport, a "Cyber Av3ngers" több szervezetet is célba hozott, köztük egy kis pennsylvaniai város vízszolgáltatóját, és arra kényszerítette, hogy távszivattyúról manuális működésre váltson. Egy izraeli gyártmányú eszközt kerestek, amelyet az üzemmű használt Izrael Hamász elleni háborúja után.

Idén korábban egy orosz kapcsolatú "hacktivista" megpróbálta megzavarni több texasi közműszolgáltató működését.

Egy Kínához kötődő, Volt Typhoon néven ismert kibercsoport kompromittálta több kritikus infrastruktúra rendszerét, köztük az ivóvizet az Egyesült Államokban és területein, közölték amerikai tisztviselők. A kiberbiztonsági szakértők úgy vélik, hogy a Kínához kötődő csoport fegyveres konfliktus vagy növekvő geopolitikai feszültségek esetén potenciális kibertámadásokra készül.

"Ha a háttérben ezekkel a hacktivisták csoportokkal dolgoznak, most ezek az [országállamok] hihető tagadhatóságot kapnak, és lehetővé teszik, hogy ezek a csoportok pusztító támadásokat hajtsanak végre. Ez számomra igazi fordulatot jelent" – mondta Dawn Cappelli, a Dragos Inc. ipari kiberbiztonsági cég kiberbiztonsági szakértője.

Úgy vélik, hogy a világ kiberhatalmai évek óta beszivárognak riválisok kritikus infrastruktúrájába, és olyan kártevőt telepítenek, amelyek elindíthatják az alapvető szolgáltatásokat.

A végrehajtási riasztás célja, hogy hangsúlyozza a kiberfenyegetések súlyosságát, és tájékoztassa a közműveket arról, hogy az EPA folytatja az ellenőrzéseket, és polgári vagy büntető büntetést nyújt be, ha komoly problémákat találnak.

"Biztosítani akarjuk, hogy eljuttassuk az emberekhez azt a hírt, hogy 'Hé, sok problémát találunk itt'" – mondta McCabe asszony.

Az EPA nem árulta el, hány kiberincidens történt az elmúlt években, és eddig kevés a sikeres támadások száma. Az ügynökség 2020 óta közel 100 végrehajtási intézkedést adott ki a kockázatértékeléssel és a vészhelyzeti reagálással kapcsolatban, de ez egy kis pillanatkép a vízrendszerek fenyegetéseiről.

A vízszolgáltatók elleni támadások megelőzése a Biden-kormányzat szélesebb körű erőfeszítéseinek része, hogy harcoljon a kritikus infrastruktúrát fenyegető fenyegetések ellen. Februárban Joe Biden elnök elnöki rendeletet írt alá az amerikai kikötők védelméről. Az egészségügyi rendszereket támadták meg. A Fehér Ház arra ösztönözte az elektromos szolgáltatókat, hogy növeljék védekezésüket. Michael Regan EPA igazgatója és Jake Sullivan, a Fehér Ház nemzetbiztonsági tanácsadója arra kérték az államokat, hogy dolgozzanak ki egy tervet az ivóvízrendszerek elleni kibertámadások elleni küzdelemre.

"Az ivóvíz- és szennyvízrendszerek vonzó célpontok a kibertámadások számára, mert ezek a kritikus infrastruktúra szektor, de gyakran hiányzik belőlük az erőforrások és a technikai kapacitásuk a szigorú kiberbiztonsági gyakorlatok alkalmazásához" – írták Mr. Regan és Mr. Mr. Sullivan március 18-án mind az 50 amerikai kormányzónak írt levelében.

Néhány megoldás egyszerű, mondta McCabe asszony. A vízszolgáltatóknak például nem szabad alapértelmezett jelszavakat használniuk. Ki kell dolgozniuk egy kockázatértékelési tervet, amely a kiberbiztonságot kezeli, és biztonsági mentési rendszereket kell létrehozniuk. Az EPA azt mondja, hogy ingyenesen fogják kiképezni a segítségre szoruló vízszolgáltatókat. A nagyobb közművek általában több erőforrással és szakértelemmel rendelkeznek a támadások elleni védekezéshez.

"Egy ideális világban... szeretnénk, ha mindenkinek legyen egy alapvető kiberbiztonsági szintje, és meg tudnánk erősíteni, hogy ez megvan" – mondta Alan Roberson, az Állami Ivóvíz-Adminisztrátorok Szövetségének ügyvezető igazgatója. "De az még messze van."

Néhány akadály alapvető fontosságú. A vízszektor erősen széttagolt. Körülbelül 50 000 közösségi vízszolgáltató működik, amelyek többsége kisvárosokat szolgál ki. A szerény létszám és a gyenge költségvetések sok helyen megnehezítik az alapvető dolgok fenntartását – tiszta víz biztosítását és a legfrissebb szabályozások követését.

"Természetesen a kiberbiztonság része ennek, de ez sosem volt az elsődleges szakterületük. Tehát most egy vízszolgáltatót kér, hogy fejlesszen egy teljesen újfajta osztályt a kiberfenyegetések kezelésére – mondta Amy Hardberger, a Texas Tech University vízszakértője.

Az EPA visszaesésekkel szembesült. Az államok időről időre felülvizsgálják a vízszolgáltatók teljesítményét. 2023 márciusában az EPA utasította az államokat, hogy vegyenek be kiberbiztonsági értékeléseket ezekhez a felülvizsgálatokhoz. Ha problémákat találtak, az államnak kellett volna javításokat kényszerítenie.

De Missouri, Arkansas és Iowa, csatlakozva az American Water Works Association és egy másik vízipari csoporthoz, bíróságon vitatták az utasításokat azzal az indokkal, hogy az EPA-nak nincs hatásköre a Biztonságos Ivóvíz Törvény alapján. Egy bírósági visszaesés után az EPA visszavonta a követelményeket, de arra ösztönözte az államokat, hogy mégis önkéntes lépéseket tegyenek.

A Biztonságos Ivóvíz Törvény előírja, hogy bizonyos vízszolgáltatók tervet dolgozzanak ki bizonyos fenyegetésekre, és igazolják, hogy ezt megtették. De az ereje korlátozott.

"A törvényben egyszerűen nincs felhatalmazás a [kiberbiztonságra] – mondta Roberson úr.

Kevin Morley, az Amerikai Vízügyi Társaság szövetségi kapcsolatainak vezetője elmondta, hogy néhány vízszolgáltató hálózattal rendelkezik olyan alkatrészekkel, amelyek internethez kapcsolódnak – ez egy gyakori, de jelentős sebezhetőség. Ezeknek a rendszereknek a felújítása jelentős és költséges feladat lehet. És jelentős szövetségi finanszírozás nélkül a vízrendszerek nehezen találnak forrásokat.

Az iparági csoport iránymutatást tett közzé közműszolgáltatók és az EPA-val együttműködve egy új kiberbiztonsági és vízügyi szakértők szervezetének létrehozására, amely új politikákat dolgozna ki és érvényesítene azokat.

"Vigyünk mindenkit ésszerű módon" – mondta Morley úr, hozzátéve, hogy a kis és nagy közművek eltérő igényeik és erőforrásai vannak.

Related Stories

FREE SUBSCRIPTION

Learn the why behind the headlines.

Subscribe to The Real Truth for FREE news and analysis.