Крошечное управление водоснабжения Аликиппы на западе Пенсильвании стало, пожалуй, наименее подозрительной жертвой международной кибератаки.
Компания никогда не пользовалась внешней помощью для защиты своих систем от кибератак — ни на существующем заводе, построенном в 1930-х годах, ни на новом заводе стоимостью 18,5 миллионов долларов, который она строит.
Затем компания, как и несколько других предприятий водоснабжения, была атакована хакерами, поддерживаемыми Ираном, которые, по словам федеральных властей, атаковали часть оборудования именно потому, что оно было израильского производства.
«Если бы вы сказали мне перечислить 10 проблем, которые могут пойти не так с нашим управлением водоснабжения, этого не было бы в списке», — сказал Мэтью Моттс, председатель органа, который занимается водоснабжением и сточными водами примерно для 22 000 человек в лесных пригородах вокруг. бывший стальной город недалеко от Питтсбурга.
Взлом Муниципального управления водоснабжения Аликиппы вызвал новые предупреждения со стороны сотрудников службы безопасности США в то время, когда штаты и федеральное правительство пытаются решить, как защитить предприятия водоснабжения от кибератак.
Опасность, по словам чиновников, заключается в том, что хакеры получают контроль над автоматизированным оборудованием, которое позволяет отключать насосы, подающие питьевую воду, или загрязнять питьевую воду путем перепрограммирования автоматических химических обработок. Помимо Ирана, официальные лица США рассматривают в качестве угрозы и других потенциально враждебных геополитических соперников, включая Китай.
Ряд штатов пытались усилить контроль, хотя сторонники управления водными ресурсами говорят, что деньги и опыт – это то, чего действительно не хватает сектору, насчитывающему более 50 000 предприятий водоснабжения, большинство из которых являются местными властями, которые, как и в Аликиппе, обслуживают уголки страна, жители которой имеют скромные средства, а специалистов по кибербезопасности мало.
Кроме того, по словам коммунальных предприятий, трудно инвестировать в кибербезопасность, когда содержание труб и другой инфраструктуры водоснабжения уже недостаточно финансируется, а некоторые меры кибербезопасности продвигаются частными водопроводными компаниями, что вызывает сопротивление со стороны государственных органов, утверждающих, что это используется в качестве лазейки для приватизация.
Усилия приобрели новую актуальность в 2021 году, когда ведущее агентство федерального правительства по кибербезопасности сообщило о пяти атаках на органы водоснабжения за два года, четыре из которых были связаны с программами-вымогателями, а пятая – со стороны бывшего сотрудника.
В администрации Аликиппы иранские хакеры отключили дистанционно управляемое устройство, которое контролирует и регулирует давление воды на насосной станции. Клиенты не пострадали, поскольку бригады, предупрежденные сигнализацией, быстро переключились на ручное управление, но не в каждом органе водоснабжения есть встроенная резервная система ручного управления.
Из-за бездействия Конгресса несколько штатов, в том числе Нью-Джерси и Теннесси, приняли законы об усилении контроля над кибербезопасностью. До 2021 года аналогичные законы приняли Индиана и Миссури. Закон Калифорнии 2021 года поручил органам государственной безопасности разработать планы информационно-просветительской работы и финансирования для улучшения кибербезопасности в сельском и водном секторах.
Законодательство умерло в нескольких штатах, включая Пенсильванию и Мэриленд, где государственные органы водоснабжения боролись с законопроектами, поддержанными частными водными компаниями.
Частные компании водоснабжения заявляют, что законопроекты заставят их государственных коллег соблюдать более строгие нормативные стандарты, с которыми частные компании сталкиваются в комиссиях коммунальных предприятий, и, как следствие, повысят доверие общества к безопасности водопроводной воды.
«Это защищает водопроводную воду в стране», — сказала Дженнифер Кочер, представитель Национальной ассоциации компаний водоснабжения. «Это наиболее экономичный выбор для большинства семей, но он также вызывает недостаток доверия со стороны многих людей, которые думают, что могут пить ее, и каждый раз, когда возникает одна из этих проблем, это подрывает доверие к воде и подрывает желание людей пить воду». верь, что выпьешь его».
Оппоненты заявили, что закон призван навязать обременительные расходы государственным органам и побудить их советы и налогоплательщиков продать недвижимость частным компаниям, которые могут убедить государственные коммунальные комиссии поднять тарифы для покрытия расходов.
«Это законопроект о приватизации», — заявил законодателям Мэриленда Джастин Фиоре из Муниципальной лиги Мэриленда во время слушаний прошлой весной. «Они стремятся взять государственные компании водоснабжения, приватизировать их, увеличив нагрузку и урезав государственное финансирование».
Для многих властей требования кибербезопасности, как правило, отходят на второй план более насущных потребностей жителей, опасающихся повышения тарифов: старение труб и рост затрат на соблюдение правил очистки воды.
Один критик, сенатор от штата Пенсильвания Кэти Мут, демократ из округа Монтгомери, пригорода Филадельфии, раскритиковала законопроект, написанный Республиканской партией, за отсутствие финансирования.
«Люди пьют воду, которая не соответствует стандартам, но ее продажа корпорациям, которые собираются повысить тарифы для семей по всему нашему штату, которые не могут себе это позволить, не является решением», — сказала г-жа Мут коллегам во время дебатов по законопроекту 2022 года.
Член палаты представителей штата Пенсильвания Роб Мэци, демократ, в чей округ входит управление водоснабжения Аликиппы, работает над законодательством, чтобы создать поток финансирования, который поможет предприятиям водоснабжения и электроснабжения оплачивать модернизацию кибербезопасности после того, как он искал существующий источник финансирования и не нашел его.
«Управление водоснабжения и канализации Аликиппы? У них нет денег», — сказал г-н Матзи в интервью.
В марте Агентство по охране окружающей среды США предложило новое правило, требующее от штатов проводить аудит кибербезопасности водных систем.
Это было недолговечно.
Три штата – Арканзас, Миссури и Айова – подали в суд, обвинив агентство в превышении своих полномочий, и федеральный апелляционный суд незамедлительно приостановил действие этого правила. Агентство по охране окружающей среды отменило это правило в октябре, хотя заместитель советника по национальной безопасности Энн Нойбергер сообщила Associated Press, что агентство могло «выявить уязвимости, которые были атакованы в последние недели».
Две группы, представляющие государственные органы водоснабжения, Американская ассоциация водопроводных предприятий и Национальная ассоциация сельского водоснабжения, выступили против правила EPA и теперь поддерживают в Конгрессе законопроекты, направленные на решение этой проблемы различными способами.
Один законопроект предусматривает многоуровневый подход к регулированию: больше требований к более крупным и сложным предприятиям водоснабжения. Другая — это поправка к законодательству о фермерских хозяйствах, предусматривающая отправку федеральных служащих, называемых «райдерами», на места, чтобы помочь небольшим и сельским системам водоснабжения обнаружить слабые места кибербезопасности и устранить их.
Если Конгресс ничего не предпримет, стандарты Закона о безопасной питьевой воде шестилетней давности все еще будут действовать – в основном добровольный режим, который, по словам как EPA, так и аналитиков по кибербезопасности, не принес минимального прогресса.
Тем временем штаты подают заявки на гранты в рамках федеральной программы кибербезопасности в размере 1 миллиарда долларов, деньги из федерального закона об инфраструктуре 2021 года.
Но предприятиям водоснабжения придется конкурировать за деньги с другими коммунальными предприятиями, больницами, полицейскими управлениями, судами, школами, местными органами власти и другими.
Роберт М. Ли, генеральный директор Dragos Inc., которая специализируется на кибербезопасности для систем промышленного контроля, сказал, что история водного управления Аликиппы о том, что у него не было помощи в области кибербезопасности, является распространенной.
«Эта история касается десятков тысяч коммунальных предприятий по всей стране», — сказал г-н Ли.
По этой причине Dragos начал предлагать бесплатный доступ к своей онлайн-поддержке и программному обеспечению, которое помогает обнаруживать уязвимости и угрозы для предприятий водоснабжения и электроснабжения, доход которых составляет менее 100 миллионов долларов.
После того как Россия напала на Украину в 2022 году, Драгош опробовал эту идею, развернув программное обеспечение, оборудование и установку стоимостью около 2 миллионов долларов для 30 коммунальных предприятий.
«Отзывы были потрясающими», — сказал г-н Ли. «Вы задаетесь вопросом: «Эй, я думаю, я могу сдвинуть иглу таким образом»… и эти 30 сказали: «Черт возьми, никто никогда не обращал на нас внимания». Никто никогда не пытался нам помочь».
Об этой истории сообщило агентство Associated Press.
2024-01-02 15:50:58
1704215513
#Взлом #предприятий #водоснабжения #Пенсильвании #вызывает #тревогу #области #кибербезопасности