Oko 70% komunalnih preduzeća koje su kontrolisali federalni zvaničnici tokom prošle godine prekršilo je standarde koji su trebali spriječiti kršenje ili druge upade, navodi agencija. Zvaničnici su pozvali čak i male sisteme za vodu da poboljšaju zaštitu od hakovanja. Nedavni cyber napadi grupa povezanih s Rusijom i Iranom usmjereni su na manje zajednice.
Neki vodovodni sistemi ne uspijevaju na osnovne načine, navodi se u upozorenju, uključujući neuspjeh promjene zadanih lozinki ili prekid pristupa sistemu bivšim zaposlenima. Budući da se vodovodna preduzeća često oslanjaju na kompjuterski softver za upravljanje postrojenjima za prečišćavanje i distributivnim sistemima, zaštita informacione tehnologije i kontrola procesa je ključna, kaže EPA.
Mogući uticaji cyber napada uključuju prekide u prečišćavanju i skladištenju vode; oštećenje pumpi i ventila; i promjenu nivoa hemikalija u opasne količine, navodi agencija.
"U mnogim slučajevima, sistemi ne rade ono što bi trebalo da rade, a to je da su završili procjenu rizika svojih ranjivosti koja uključuje cyber sigurnost i da osiguraju da je plan dostupan i informira o načinu na koji posluju", rekli su iz EPA.
Pokušaji privatnih grupa ili pojedinaca da uđu u mrežu dobavljača vode i uklone ili unište web stranice nisu novost. Međutim, nedavno su napadači ciljali na operacije komunalnih preduzeća.
Geopolitički rivali
Nedavni napadi nisu samo od strane privatnih subjekata. Neki nedavni hakovi vodovodnih preduzeća povezani su sa geopolitičkim rivalima i mogli bi dovesti do prekida snabdijevanja bezbjednom vodom u domovima i preduzećima.
McCabe je naveo Kinu, Rusiju i Iran kao zemlje koje "aktivno traže sposobnost da onesposobe kritičnu infrastrukturu SAD-a, uključujući vodu i otpadne vode".
Krajem prošle godine, grupa povezana s Iranom pod nazivom "Cyber Av3ngers" ciljala je na više organizacija, uključujući dobavljača vode u malom gradu u Pensilvaniji, prisiljavajući ga da se prebaci s daljinske pumpe na ručne operacije. Oni su tragali za uređajem izraelske proizvodnje koji je koristila ova kompanija nakon izraelskog rata protiv Hamasa.
Ranije ove godine, "haktivista" povezan sa Rusijom pokušao je poremetiti rad nekoliko teksaških komunalnih preduzeća.
Cyber grupa povezana s Kinom i poznata kao Volt Typhoon ugrozila je informacijsku tehnologiju više kritičnih infrastrukturnih sistema, uključujući vodu za piće, u Sjedinjenim Državama i njihovim teritorijama, rekli su američki zvaničnici. Stručnjaci za kibernetičku sigurnost vjeruju da se grupa koja je povezana s Kinom pozicionira za potencijalne cyber napade u slučaju oružanog sukoba ili porasta geopolitičkih tenzija.
"Radeći iza kulisa sa ovim haktivističkim grupama, sada ove [nacionalne države] imaju uvjerljivo poricanje i mogu dopustiti tim grupama da izvode destruktivne napade. A to je za mene promijenilo igru", rekla je Dawn Cappelli, stručnjakinja za kibernetičku sigurnost iz firme za upravljanje rizicima Dragos Inc.
Vjeruje se da se svjetske cyber sile godinama infiltriraju u kritičnu infrastrukturu rivala, postavljajući zlonamjerni softver koji bi mogao biti pokrenut da poremeti osnovne usluge.
Upozorenje o provedbi ima za cilj da naglasi ozbiljnost kibernetičkih prijetnji i obavijesti komunalne kompanije da će EPA nastaviti svoje inspekcije i slijediti građanske ili krivične kazne ako otkriju ozbiljne probleme.
"Želimo da budemo sigurni da ćemo ljudima prenijeti riječ: 'Hej, ovdje nalazimo puno problema".
Širi savezni napor
Sprječavanje napada na dobavljače vode dio je širih napora Bidenove administracije u borbi protiv prijetnji kritičnoj infrastrukturi. U februaru je predsjednik Joe Biden potpisao izvršnu naredbu o zaštiti američkih luka. Zdravstveni sistemi su napadnuti. Bijela kuća je podstakla i elektroprivrede da povećaju svoju odbranu. Administrator EPA-e Michael Regan i savjetnik Bijele kuće za nacionalnu sigurnost Jake Sullivan zatražili su od država da osmisle plan za borbu protiv cyber napada na sisteme vode za piće.
"Sistemi vode za piće i otpadnih voda su privlačna meta za kibernetičke napade jer su kritični infrastrukturni sektor, ali često nemaju resurse i tehničke kapacitete za usvajanje rigoroznih praksi kibernetičke sigurnosti", napisali su Regan i Sullivan u pismu od 18. marta upućenom guvernerima SAD.
Neke od popravki su jednostavne, rekao je McCabe. Pružaoci vode, na primjer, ne bi trebali koristiti zadane lozinke. Oni treba da razviju plan procjene rizika koji se bavi cyber-sigurnošću i uspostave rezervne sisteme. EPA kaže da će besplatno obučavati vodovodne kompanije kojima je potrebna pomoć. Veća preduzeća obično imaju više resursa i stručnosti za odbranu od napada.
"U idealnom svijetu... željeli bismo da svi imaju osnovni nivo cyber sigurnosti i da možemo potvrditi da to imaju", rekao je Alan Roberson, izvršni direktor Udruženja državnih administratora vode za piće. "Ali to je daleko."
Neke barijere su temeljne. Sektor voda je veoma fragmentiran. Postoji otprilike 50.000 vodovoda u zajednici, od kojih većina opslužuje male gradove. Skroman broj osoblja i anemični budžeti na mnogim mjestima čine dovoljno teškim održavanjem osnovnih stvari — obezbjeđivanjem čiste vode i praćenjem najnovijih propisa.
"Svakako, cyber sigurnost je dio toga, ali to nikada nije bila njihova primarna stručnost. Dakle, sada tražite od vodovodnog preduzeća da razvije ovu potpuno novu vrstu odjela" za rješavanje kibernetičkih prijetnji, rekla je Amy Hardberger, stručnjak za vodu u Texas Techu Univerzitet.
Države, industrijske grupe se protive
EPA se suočila sa preprekama. Države periodično preispituju učinak dobavljača vode. U martu 2023., EPA je naložila državama da tim pregledima dodaju procjene kibernetičke sigurnosti. Ako nađu probleme, država je trebala forsirati poboljšanja.
Ali Missouri, Arkansas i Iowa, kojima su se pridružili Američko udruženje vodovoda i druga grupa za industriju vode, osporili su upute na sudu na osnovu toga da EPA nema ovlaštenja prema Zakonu o sigurnoj vodi za piće. Nakon sudskog neuspjeha, EPA je povukla svoje zahtjeve, ali je pozvala države da svejedno preduzmu dobrovoljne radnje.
Zakon o sigurnoj vodi za piće zahtijeva od određenih dobavljača vode da razviju planove za neke prijetnje i potvrde da su to učinili. Ali njegova moć je ograničena.
"Jednostavno nema ovlaštenja za [cybersigurnost] u zakonu", rekao je Roberson.
Kevin Morley, menadžer federalnih odnosa s Američkom asocijacijom vodovoda, rekao je da neka vodovodna preduzeća imaju komponente koje su povezane s internetom - što je uobičajena, ali značajna ranjivost. Remont ovih sistema može biti značajan i skup posao. A bez značajnih federalnih sredstava, vodni sistemi se bore da pronađu resurse.
Industrijska grupa je objavila smjernice za komunalne kompanije i zalaže se za uspostavljanje nove organizacije stručnjaka za kibernetičku sigurnost i vodu koja bi razvijala nove politike i provodila ih, u partnerstvu sa EPA.
„Povedemo sve na razuman način“, rekao je Morley, dodajući da mala i velika preduzeća imaju različite potrebe i resurse.
