Wetenschap & Technologie

De VS zegt dat cyberaanvallen op watervoorzieningen toenemen en dat nutsbedrijven meer moeten doen om ze te stoppen

Associated PressSave article
De VS zegt dat cyberaanvallen op watervoorzieningen toenemen en dat nutsbedrijven meer moeten doen om ze te stoppen

WASHINGTON (AP) – Cyberaanvallen op waterbedrijven in het hele land worden steeds frequenter en ernster, waarschuwde het Environmental Protection Agency maandag terwijl het een handhavingswaarschuwing uitgaf waarin watersystemen werden opgeroepen onmiddellijk actie te ondernemen om het drinkwater van het land te beschermen.

Ongeveer 70 procent van de nutsbedrijven die het afgelopen jaar door federale functionarissen zijn geïnspecteerd, overtrad normen die bedoeld zijn om inbreuken of andere inbreuken te voorkomen, aldus het agentschap. Functionarissen drongen er zelfs bij kleine watersystemen op aan om de bescherming tegen hacks te verbeteren. Recente cyberaanvallen door groepen die gelieerd zijn aan Rusland en Iran hebben kleinere gemeenschappen geviseerd.

Sommige watersystemen schieten op basispunten tekort, aldus de waarschuwing, waaronder het niet wijzigen van standaardwachtwoorden of het niet afsluiten van de systeemtoegang voor voormalige medewerkers. Omdat waterbedrijven vaak afhankelijk zijn van computersoftware om zuiveringsinstallaties en distributiesystemen te bedienen, is het beschermen van informatietechnologie en procescontroles cruciaal, aldus de EPA. Mogelijke gevolgen van cyberaanvallen zijn onder meer onderbrekingen van waterzuivering en opslag, schade aan pompen en kleppen, en het veranderen van de chemische niveaus tot gevaarlijke hoeveelheden, aldus de instantie.

"In veel gevallen doen systemen niet wat ze zouden moeten doen, namelijk een risicobeoordeling van hun kwetsbaarheden hebben afgerond, inclusief cybersecurity, en ervoor zorgen dat dat plan beschikbaar is en de manier waarop ze zaken doen informeret," zei EPA-adjunct-beheerder Janet McCabe.

Pogingen van particuliere groepen of individuen om toegang te krijgen tot het netwerk van een waterleverancier en websites offline te halen of te beschadigen zijn niet nieuw. Meer recentelijk hebben aanvallers echter niet alleen websites aangevallen, maar ook de operaties van nutsbedrijven.

Recente aanvallen worden niet alleen door particuliere partijen uitgevoerd. Sommige recente hacks op waterbedrijven zijn gekoppeld aan geopolitieke rivalen en kunnen leiden tot verstoring van de levering van veilig water aan woningen en bedrijven.

Mevrouw McCabe noemde China, Rusland en Iran als de landen die "actief zoeken naar de capaciteit om de kritieke infrastructuur van de VS, waaronder water en afvalwater, uit te schakelen."

Eind vorig jaar richtte een aan Iran gelieerde groep genaamd "Cyber Av3ngers" zich op meerdere organisaties, waaronder de waterleverancier van een klein stadje in Pennsylvania, waardoor deze moest overstappen van een externe pomp naar handmatige bediening. Ze gingen achter een Israëlisch apparaat aan dat door het nutsbedrijf werd gebruikt na de Israëlische oorlog tegen Hamas.

Eerder dit jaar probeerde een met Rusland gelieerde "hacktivist" de operaties bij verschillende Texaanse nutsbedrijven te verstoren.

Een cybergroep die aan China gelinkt is en bekend staat als Volt Typhoon heeft de informatietechnologie van meerdere kritieke infrastructuursystemen, waaronder drinkwater, in de Verenigde Staten en haar gebieden gecompromitteerd, aldus Amerikaanse functionarissen. Cybersecurity-experts denken dat de aan China gelieerde groep zich positioneert voor mogelijke cyberaanvallen in het geval van gewapend conflict of toenemende geopolitieke spanningen.

"Door achter de schermen samen te werken met deze hacktivisten, hebben deze [natiestaten] nu een plausibele ontkenning en kunnen ze deze groepen destructieve aanvallen laten uitvoeren. En dat is voor mij een gamechanger," zei Dawn Cappelli, een cybersecurity-expert bij het industriële cybersecuritybedrijf Dragos Inc.

Men denkt dat de cybermachten van de wereld al jaren de kritieke infrastructuur van rivalen infiltreren en malware plaatsen die geactiveerd kan worden om basisdiensten te verstoren.

De handhavingswaarschuwing is bedoeld om de ernst van cyberdreigingen te benadrukken en nutsbedrijven te informeren dat de EPA haar inspecties zal voortzetten en civiele of strafrechtelijke sancties zal nastreven als ze ernstige problemen ontdekken.

"We willen ervoor zorgen dat we mensen laten weten dat 'Hé, we vinden hier veel problemen,'" zei mevrouw McCabe.

De EPA heeft niet gezegd hoeveel cyberincidenten er de afgelopen jaren zijn geweest, en het aantal aanvallen waarvan bekend is dat ze succesvol zijn tot nu toe is minimaal. De instantie heeft sinds 2020 bijna 100 handhavingsmaatregelen uitgevaardigd met betrekking tot risicobeoordelingen en noodhulp, maar zei dat dit slechts een klein momentopname is van de dreigingen waarmee watersystemen worden geconfronteerd.

Het voorkomen van aanvallen op waterleveranciers maakt deel uit van de bredere inspanning van de regering-Biden om bedreigingen tegen kritieke infrastructuur te bestrijden. In februari ondertekende president Joe Biden een uitvoerend bevel om Amerikaanse havens te beschermen. Zorgsystemen zijn aangevallen. Het Witte Huis heeft ook elektriciteitsbedrijven aangespoord hun verdediging te versterken. EPA-beheerder Michael Regan en nationaal veiligheidsadviseur van het Witte Huis Jake Sullivan hebben de staten gevraagd een plan op te stellen om cyberaanvallen op drinkwatersystemen te bestrijden.

"Drinkwater- en afvalwatersystemen zijn een aantrekkelijk doelwit voor cyberaanvallen omdat ze een levensader zijn voor kritieke infrastructuur, maar vaak niet de middelen en technische capaciteit hebben om rigoureuze cyberbeveiligingspraktijken toe te passen," schreven de heer Regan en de heer Sullivan in een brief van 18 maart aan alle 50 gouverneurs van de VS.

Sommige oplossingen zijn eenvoudig, zei mevrouw McCabe. Waterleveranciers zouden bijvoorbeeld geen standaardwachtwoorden moeten gebruiken. Ze moeten een risicobeoordelingsplan ontwikkelen dat cybersecurity adresseert en back-upsystemen opzetten. De EPA zegt dat ze gratis waterbedrijven die hulp nodig hebben zullen trainen. Grotere nutsbedrijven hebben meestal meer middelen en de expertise om zich tegen aanvallen te verdedigen.

"In een ideale wereld... we willen dat iedereen een basisniveau van cybersecurity heeft en kan bevestigen dat ze dat hebben," zei Alan Roberson, uitvoerend directeur van de Association of State Drinking Water Administrators. "Maar dat is nog ver weg."

Sommige barrières zijn fundamenteel. De watersector is sterk gefragmenteerd. Er zijn ongeveer 50.000 lokale waterleveranciers, waarvan de meeste kleine steden bedienen. Bescheiden personeel en magere budgetten op veel plaatsen maken het al moeilijk genoeg om de basisvoorzieningen te onderhouden—schoon water leveren en de nieuwste regelgeving naleven.

"Zeker, cyberbeveiliging hoort daarbij, maar dat is nooit hun primaire expertise geweest. Dus nu vraag je een waterbedrijf om een heel nieuw soort afdeling te ontwikkelen om cyberdreigingen aan te pakken, zei Amy Hardberger, waterexpert aan de Texas Tech University.

De EPA heeft tegenslagen gehad. Staten beoordelen periodiek de prestaties van waterleveranciers. In maart 2023 gaf de EPA de staten opdracht om cybersecurity-evaluaties aan die beoordelingen toe te voegen. Als ze problemen vonden, moest de staat verbeteringen afdwingen.

Maar Missouri, Arkansas en Iowa, samen met de American Water Works Association en een andere waterindustriegroep, vochten de instructies aan bij de rechtbank op grond dat de EPA niet de bevoegdheid had onder de Safe Drinking Water Act. Na een tegenslag bij de rechtbank trok de EPA haar eisen in, maar riep de staten op om toch vrijwillige acties te ondernemen.

De Safe Drinking Water Act vereist dat bepaalde waterleveranciers plannen ontwikkelen voor bepaalde bedreigingen en certificeren dat zij dit hebben gedaan. Maar de macht ervan is beperkt.

"Er is gewoon geen bevoegdheid voor [cybersecurity] in de wet," zei de heer Robertson.

Kevin Morley, manager federale relaties bij de American Water Works Association, zei dat sommige waterbedrijven componenten hebben die verbonden zijn met het internet – een veelvoorkomende, maar significante kwetsbaarheid. Het grondig maken van die systemen kan een aanzienlijke en kostbare klus zijn. En zonder substantiële federale financiering hebben watersystemen moeite om middelen te vinden.

De branchegroep heeft richtlijnen gepubliceerd voor nutsbedrijven en pleit voor het oprichten van een nieuwe organisatie van cybersecurity- en waterexperts die nieuwe beleidsmaatregelen ontwikkelen en handhaven, in samenwerking met de EPA.

"Laten we iedereen op een redelijke manier meenemen," zei de heer Morley, en voegde eraan toe dat kleine en grote nutsbedrijven verschillende behoeften en middelen hebben.

Related Stories

FREE SUBSCRIPTION

Learn the why behind the headlines.

Subscribe to The Real Truth for FREE news and analysis.