Geniş tesis ve yönetim sistemleri ağı nedeniyle kritik altyapının güvenliğini sağlamak karmaşıktır. Bu sektörü hedef alan tehditlerin korkunç sonuçları olabilir ve saldırılar gerçekleştiğinde, genellikle bir medya fırtınası eşlik eder. Bu, ilgili vatandaşları, yani seçmenleri sakinleştirmek için gerekli siber korumaların uygulandığından emin olmak için harekete geçen politikacıların tepkisine yol açan ilgili vatandaşlar arasında ilgi uyandırıyor.
Benzin istasyonlarında uzun kuyruklara neden olan Colonial Pipeline’a yönelik 2021 fidye yazılımı saldırısı tam da bu zaman çizelgesini takip etti ve kritik altyapı hizmetlerini siber saldırılara karşı korumak için çok ihtiyaç duyulan bir uyandırma çağrısı görevi gördü. Saldırı, ABD hükümetinin en üst düzeylerinde harekete geçilmesine yol açarak, başkanın ABD siber güvenlik savunmasını güçlendirmeyi amaçlayan bir yürütme emrini hızlandırmasına neden oldu. Yürütme emri, kısaca, olayların açıklanmasını gerektirir, olaylar için federal bir oyun kitabı oluşturur, siber güvenlik yükseltmelerini zorunlu kılar, bir inceleme kurulu oluşturur ve daha da önemlisi, devlet kurumları ile özel sektör arasında bir siber istihbarat paylaşımı ahlakını teşvik eder.
Uyanma çağrısı
Çabalarından para kazanmaya çalışan siber suçlular, terörizm ve Ukrayna’daki çatışma da dahil olmak üzere kritik altyapıya yönelik artan tehditler nedeniyle siber güvenliğe verilen önemin benzeri görülmemiş. İçinde mevcut bütçe teklifiSiber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), talep ettiğinden 417,1 milyon dolar daha fazla olan 2,93 milyar dolar alacak. Siber güvenlikte çok ihtiyaç duyulan iyileştirmeleri finanse etmeye yardımcı olmak için kritik altyapı kuruluşlarına sunulan çok sayıda hibe vardır; Nisan 2022’de CISA ve FEMA, eyalet ve yerel kuruluşların siber güvenliği iyileştirmesine yardımcı olmak için Kurtarma Yasası’ndan ilk 1 milyar doları dağıtmaya başladı. Temsilciler Meclisi İç Güvenlik Alt Komitesi önünde ifade veren CISA direktörü Jen Easterly, orijinal talebi haklı çıkarmak için kritik altyapıya yönelik bir saldırı örneği olarak Oldsmar, Fla., su dağıtım tesisine yapılan siber saldırıyı kullandı.
ABD’deki su temini ve atık su sistemlerinin siber güvenliğini yükseltme görevi muazzam bir şekilde hafife alınır. Göre Amerikan Suyu, ABD’de 53.000 su temini ve sanitasyon sağlayıcısı var. Çevre Koruma Ajansı (EPA) bunu farklı hesaplar ve 148.000 kamu su sistemini listeler (şirketler değil).
Benim gibi kırsal bir toplulukta yaşıyorsanız, suyunuzu tedarik eden şirket muhtemelen kritik bir altyapı hizmeti sağlayan küçük bir yerel işletmedir. 5 Şubat 2021’de Oldsmar City’ye hizmet veren su arıtma sistemi bir siber olaya maruz kaldı: Bir fail, sudaki sodyum hidroksit miktarını milyonda 100 parçadan ayarlayan TeamViewer tabanlı zayıf güvenli bir uzaktan erişim çözümüne erişti milyonda 11.000 parçaya. Neyse ki, bir şehir su tesisi operatörü artışı fark etti ve bunu tersine çevirerek saldırıyı ve binlerce insanın potansiyel zehirlenmesini durdurdu. Daha sonra, erişilen sistemin iki faktörlü kimlik doğrulama ile korunmadığı ve zayıf, paylaşılan bir parola ile korunduğu açıklandı. Gerçekten mazeret yok.
bu Wall Street Journal’ın CIO Dergisi teknoloji harcamalarının bankacılık ve menkul kıymetlerdeki gelir yüzdesi olarak yaklaşık %7 ve inşaat ve imalatta sadece %2 olduğunu öne sürüyor. Su tedarikinin kritik bir altyapı hizmeti olduğu ve özellikle siber güvenlik yatırımı gerektirdiği düşünüldüğünde, siber güvenlik de dahil olmak üzere BT harcamalarının bu iki seviyeden daha yüksek olmasını beklemek mantıklıdır. A Deloitte’un raporu bu rakamı %10,9 olarak tahmin ettikleri siber güvenlik harcamalarına ayırıyor.
Sorunun 2,5 Milyar Dolarlık Kapsamı
Belirli bir şirketi utandırmadan, kırsal bir su sistemi şirketinde bunun anlamı nedir? Şirkete isim vermeden gerçek hayattan bir örnek kullanacağım. X Şirketinin yıllık toplam gelir bütçesi 12.4 milyon dolar ve aynı dönem için bilgisayar hizmetleri için işletme maliyeti 211.000 dolar. BT ile ilgili kalemler için işletme bütçesinin dışında olabilecek ve sermaye harcamasına atfedilen bazı maliyetler vardır. 2021 mali yılı için–22, siber güvenlik unsuruna sahip olabilecek tek öğe, SCADA/telemetri/elektrik kontrol değişimi için 50.000 $’lık bir maliyettir.
Bu, %1,7’lik BT harcamasına (bilgisayar hizmetleri olarak listelenmiştir) eşittir ve sermaye harcaması kaleminin %50’sinin siber güvenlik olduğunu kabul etsek bile ki bu pek olası değildir, bu %1,9 olur. Daha önce bahsedilen %10,9’luk siber güvenlik tahmini kullanıldığında, 12,4 milyon dolar gelire sahip bir kuruluş için siber güvenlik harcaması yılda 22.000 doların biraz altında. Sürekli tehdit altındaki bir sektörde, harcamaların finans kuruluşlarınınkinin aynısını yapmasını beklemek mantıksız değildir; bu örnekte bu, yılda 94.000 ABD dolarının biraz altında siber güvenlikle birlikte 868.000 ABD Doları tutarında bir BT harcamasına eşittir.
Su sektörü federal yardımdan yararlanıyor ve EPA, su sektöründeki siber güvenlik altyapı kapasitesini ve korumaları ilerletmek için yeni bir hibe programı için 2023 mali yılında 25 milyon dolar talep etti. Bununla ilgili ham matematik yaparsanız ve bunu 54.000 kuruluş arasında dağıtırsanız, her biri 500 ABD dolarından azına eşittir. Mevcut başka fonlar ve hibeler olabilir, ancak mesele sayılar değil, sorunun büyüklüğüdür. Her bir su tedarik kuruluşuna siber güvenlik için 50.000 ABD Doları fon sağlamak için, daha gerçekçi bir rakam, 2,5 milyar ABD Doları bütçe ayrılması gerekir.
Kritik altyapı güvenliğine yıllarca yapılan yetersiz yatırım, kısa vadede düzeltilebilir bir şey değildir. 53.000 kuruluşla (yaklaşık 50.000’i kırsal kesimde) uğraşmanın ve hepsini temel bir uyum düzeyine getirmeye çalışmanın karmaşıklığı devasa bir iştir. Tüm bunlar, enflasyonun kol gezdiği ve enerji maliyetinin yüksek olduğu bir zamanda yaşanıyor.
Olası Bir Çözüm
Her zaman bir çözüm vardır. Bir fikir, su tedarik şirketlerinin BT hizmetlerinin, iç hizmetleri merkezileştirerek bir arada gruplandırılmaları halinde daha iyi hizmet verilebileceğidir.
Örneğin, BT ve siber güvenlik için 10 şirket bir araya gelirse, çok sayıda fayda olacaktır: finansal, kaynaklar, iletişim, uygunluk, politika vb. , tek yönetim organı. Bu çözümlerden sadece biri ve kritik altyapı sektörünün karşı karşıya olduğu mali ve kaynak yükünü hafifletmeye yardımcı olabilecek pek çok seçeneğin uygulanabileceğinden eminim.