.
O governo dos EUA está exigindo que os estados avaliem as capacidades de segurança cibernética de seus sistemas de água potável, parte dos esforços mais amplos da Casa Branca para proteger a infraestrutura crítica do país contra ataques de estados-nação e outras ameaças cibernéticas.
A Agência de Proteção Ambiental (EPA) está descrevendo as etapas que os funcionários dos sistemas públicos de água precisam tomar para proteger o abastecimento de água potável e exigindo avaliações de segurança cibernética em suas ‘pesquisas sanitárias’ dos sistemas de água.
O requisitoslançado no final da semana passada, vem após meses de trabalho da EPA e uma pesquisa constatando que, embora muitos sistemas públicos de água (PWSs) tenham programas de segurança cibernética em vigor, muitos outros não.
Isso não é bom o suficiente em um momento em que a infra-estrutura crítica do país – incluindo sistemas de água – está sob ataque crescente, Radhika Fox, administrador assistente de água da EPA, escreveu em um memorando [PDF].
“Hoje, os PWSs são alvos frequentes de atividades cibernéticas maliciosas, que têm o mesmo ou maior potencial de comprometer o tratamento e a distribuição de água potável como um ataque físico”, escreveu Fox.
“Esclarecer que a segurança cibernética deve ser avaliada na revisão da tecnologia operacional que faz parte do equipamento ou operação de um PWS durante pesquisas sanitárias ou outros programas estaduais ajudará a reduzir a probabilidade de um ataque cibernético bem-sucedido em um PWS e melhorar a recuperação se ocorrer um incidente cibernético. “
Uma colcha de retalhos nacional de sistemas
A pesquisa destacou a natureza fragmentada do ambiente de abastecimento de água potável nos Estados Unidos – um dos desafios na tentativa de instituir padrões de segurança cibernética.
De acordo com um relatório no ano passado pelo Comitê de Política Republicana do Senado, existem cerca de 153.000 sistemas públicos de água potável no país que fornecem monóxido de dihidrogênio potável para 80% da população americana.
A fabricante de software de segurança Tripwire disse em setembro de 2022 relatório que muitos dos sistemas hídricos no país “são pequenos, atendendo comunidades de baixa densidade e funcionando com orçamentos limitados. A natureza fragmentada da cobertura dos serviços de água junto com orçamentos baixos e experiência tecnológica limitada significa que muitos sistemas estão desatualizados e subprotegidos.”
Não é apenas o número de sistemas de água que é uma dor de cabeça. Nas últimas duas décadas, os administradores públicos de água confiaram cada vez mais em ferramentas eletrônicas para operar seus sistemas de água, mas esses sistemas eletrônicos agora são vulneráveis a ataques cibernéticos, escreveu Fox.
um 2021 relatório [PDF] do Water Sector Coordinating Council, uma organização estratégica para o setor de sistemas de água e esgoto, a segurança cibernética é uma das principais prioridades do setor, desde treinamento e educação até avaliações e ferramentas.
houve incidentes
Em 2021, um ex-funcionário do Post Rock Rural Water District em Ellsworth, Kansas, foi indiciado por acusações federais de adulteração com o sistema de água, acessando-o remotamente e desligando-o.
Também em 2021, alguém acessou remotamente o sistema de água em Oldsmar, Flórida, e tentou tóxico aumentando os níveis de hidróxido de sódio para mais de 100 vezes a quantidade normal.
A EPA agora está pressionando todos os sistemas públicos de água a criar proteções contra esses ataques.
“Os americanos merecem ter confiança na resiliência de seus sistemas de água a invasores cibernéticos”, disse Anne Neuberger, vice-assessora de segurança nacional para tecnologias cibernéticas e emergentes, em um comunicado. declaraçãoacrescentando que a abordagem da EPA é deliberadamente flexível para que os administradores do sistema de água possam adaptá-la às suas necessidades, mantendo o abastecimento seguro.
Ordens de marcha
Se um sistema público de água usa tecnologia operacional como um sistema de controle industrial (ICS) em suas operações, então, como parte da pesquisa sanitária mais ampla, a avaliação também deve incluir as proteções de segurança cibernética do TO, como práticas e controles, de acordo com a agência.
Se forem encontradas “deficiências significativas” nas proteções de segurança cibernética – como defeitos de design ou operacionais ou mau funcionamento ou falha nos sistemas de tratamento, armazenamento ou distribuição de água – o estado deve garantir que o PWS resolva isso.
A EPA está dando a algumas organizações mais margem de manobra, dependendo dos programas que já possuem, desde permitir que os operadores do sistema de água autoavaliem seus sistemas, deixando terceiros fazerem o trabalho ou fazendo com que os estados executem as avaliações.
A agência também ofereceu assistência técnica e treinamento, bem como ajuda financeira por meio de programas como o Fundo Rotativo Estadual de Água Potável e o Programa de Resiliência e Sustentabilidade da Infraestrutura de Sistemas de Água Potável de Médio e Grande Porte.
Sob o governo Biden, a Agência de Segurança Cibernética e Infraestrutura (CISA) e outras entidades governamentais trabalharam para reforçar a cíber segurança de infraestrutura crítica em 16 setores ao longo do tempo – como químico, óleo, eletricidade, gás e água. Faz parte da Iniciativa de Cibersegurança ICS da Casa Branca que lançado em 2021.
O programa surgiu na sequência do ataque de ransomware no Colonial Pipeline naquele ano pelo grupo DarkSide, ligado à Rússia, que sufocou as entregas de combustível para alguns dos principais mercados da Costa Leste. Logo depois, a empresa global de processamento de carne JBS Foods foi atingida por um ataque cibernético sofisticado que afetou instalações nos EUA, Canadá e Austrália. ®
.
