(ВАШИНГТОН) – Кибератаки на предприятия водоснабжения по всей стране становятся все более частыми и серьезными, предупредило в понедельник Агентство по охране окружающей среды, выпустив предупреждение, призывающее системы водоснабжения принять немедленные меры для защиты питьевой воды в стране.
По данным агентства, около 70% коммунальных предприятий, проверенных федеральными чиновниками за последний год, нарушили стандарты, призванные предотвратить киберугрозы. Чиновники призвали даже небольшие системы водоснабжения улучшить защиту от кибератак, отметив, что недавние нападения со стороны враждебных национальных государств, таких как Россия и Иран, затронули водные системы всех размеров.
В предупреждении говорится, что некоторые системы водоснабжения не справляются с основными задачами, включая невозможность изменить пароли по умолчанию или отрезать доступ к системе бывшим сотрудникам. Поскольку предприятия водоснабжения часто полагаются на компьютерное программное обеспечение для эксплуатации очистных сооружений и систем распределения, защита информационных технологий и средств управления процессами имеет решающее значение, заявили в Агентстве по охране окружающей среды. Возможные последствия кибератак включают перебои в очистке и хранении воды; повреждение насосов и клапанов; и изменение уровня химических веществ до опасных значений, сообщило агентство.
«Во многих случаях системы не делают то, что должны делать, то есть не завершают оценку рисков своих уязвимостей, включая кибербезопасность, и не гарантируют, что план доступен и информирует о том, как они ведут бизнес», — заявило EPA. Заместитель администратора Джанет Маккейб.
Попытки частных групп или отдельных лиц проникнуть в сеть поставщиков воды и удалить или испортить веб-сайты не новы. Однако в последнее время злоумышленники атаковали не только веб-сайты, но и работу коммунальных служб.
Недавние нападения совершаются не только частными организациями — многие из них пользуются поддержкой правительства в попытке сорвать подачу безопасной воды в дома и на предприятия. Маккейб назвал Китай, Россию и Иран странами, которые «активно ищут возможности вывести из строя критически важную инфраструктуру США, включая водоснабжение и водоотведение».
В конце прошлого года связанная с Ираном группа под названием «Cyber Av3ngers» нацелен на несколько организаций, включая поставщика воды в небольшом городке Пенсильвании., заставляя его переключиться с дистанционного насоса на ручное управление. Они преследовали устройство израильского производства, использовавшееся коммунальным предприятием после войны Израиля против ХАМАС.
Ранее в этом году связанный с Россией «хактивист» пытался сорвать работу нескольких коммунальных предприятий Техаса.
Кибергруппа, связанная с Китаем и известный как «Вольт-Тайфун», поставил под угрозу информационные технологии нескольких критически важных инфраструктурных систем. включая питьевую воду, в Соединенных Штатах и на их территориях, заявили официальные лица США.
«Работая за кулисами с этими группами хактивистов, теперь у этих (национальных государств) есть правдоподобное отрицание, и они могут позволить этим группам осуществлять разрушительные атаки. И для меня это меняет правила игры», — сказала Дон Каппелли, эксперт по кибербезопасности из компании по управлению рисками Dragos Inc.
Предупреждение правоохранительных органов призвано подчеркнуть серьезность киберугроз и проинформировать коммунальные предприятия о том, что Агентство по охране окружающей среды продолжит свои проверки и привлечет гражданские или уголовные наказания, если они обнаружат серьезные проблемы.
«Мы хотим быть уверены, что донесем до людей: «Эй, мы обнаруживаем здесь много проблем», — сказал Маккейб.
Предотвращение атак на поставщиков воды является частью более широких усилий администрации Байдена по борьбе с угрозами критически важной инфраструктуре. В феврале президент Байден подписал указ. для защиты портов США. Системы здравоохранения подверглись нападению. Белый дом подтолкнул электроэнергетические компании к усилению своей защиты, слишком. Администратор Агентства по охране окружающей среды Майкл Риган и советник Белого дома по национальной безопасности Джейк Салливан попросили штаты разработать план борьбы с кибератаками на системы питьевой воды.
«Системы питьевого водоснабжения и канализации являются привлекательной мишенью для кибератак, поскольку они являются жизненно важным сектором инфраструктуры, но часто им не хватает ресурсов и технических возможностей для принятия строгих мер кибербезопасности», — написали Риган и Салливан в письме от 18 марта всем 50 губернаторам США. .
По словам Маккейба, некоторые исправления просты. Поставщики воды, например, не должны использовать пароли по умолчанию. Им необходимо разработать план оценки рисков, учитывающий вопросы кибербезопасности, и настроить системы резервного копирования. Агентство по охране окружающей среды заявляет, что они будут бесплатно обучать предприятия водоснабжения, которые нуждаются в помощи.
«В идеальном мире… мы хотели бы, чтобы у всех был базовый уровень кибербезопасности и была возможность подтвердить, что он у них есть», — сказал Алан Роберсон, исполнительный директор Ассоциации государственных администраторов питьевой воды. — Но это очень далеко.
Некоторые барьеры являются основополагающими. Водный сектор сильно фрагментирован. Существует около 50 000 местных поставщиков воды, большинство из которых обслуживают небольшие города. Скромное штатное расписание и анемичные бюджеты во многих местах затрудняют поддержание самого необходимого — обеспечение чистой водой и соблюдение новейших правил.
«Конечно, кибербезопасность является частью этого, но это никогда не было их основной специализацией. Итак, теперь вы просите водоканал создать совершенно новый отдел для борьбы с киберугрозами, — сказала Эми Хардбергер, эксперт по водным ресурсам Техасского технологического университета.
Агентство по охране окружающей среды столкнулось с неудачами. Государства периодически проверяют работу поставщиков воды. В марте 2023 года Агентство по охране окружающей среды поручило штатам добавить к этим проверкам оценки кибербезопасности. Если они обнаруживали проблемы, государство должно было добиться улучшений.
Но Миссури, Арканзас и Айова, к которым присоединились Американская ассоциация водопроводных предприятий и другая группа водной промышленности, оспорили инструкции в суде на том основании, что EPA не имеет полномочий в соответствии с Законом о безопасной питьевой воде. После судебной неудачи EPA отозвало свои требования, но в любом случае призвало штаты предпринять добровольные действия.
Закон о безопасной питьевой воде требует от некоторых поставщиков воды разработать планы действий по устранению некоторых угроз и подтвердить их выполнение. Но его сила ограничена.
«В законе просто нет полномочий на кибербезопасность», — сказал Роберсон.
Кевин Морли, менеджер по федеральным связям Американской ассоциации водоснабжения, сказал, что некоторые предприятия водоснабжения имеют компоненты, подключенные к Интернету, что является распространенной, но серьезной уязвимостью. Капитальный ремонт этих систем может оказаться серьезной и дорогостоящей работой. А без существенного федерального финансирования водным системам сложно найти ресурсы.
Промышленная группа опубликовала руководство для коммунальных предприятий и выступает за создание новой организации экспертов по кибербезопасности и водным ресурсам, которая будет разрабатывать новую политику и обеспечивать ее соблюдение в партнерстве с Агентством по охране окружающей среды.
«Давайте разумно объединим всех», — сказал Морли, добавив, что малые и крупные коммунальные предприятия имеют разные потребности и ресурсы.
2024-05-20 19:42:28
1716239085
#Агентство #по #охране #окружающей #среды #предупреждает #об #увеличении #количества #кибератак #на #предприятия #водоснабжения
