Kansas’taki küçük bir şehrin su arıtma tesisinde 22 Eylül sabahı “siber güvenlik olayı” yaşandı.
Oklahoma City’nin iki saat kuzeyinde, 12.000 nüfuslu Arkansas City, Walnut ve Arkansas Nehirlerinin birleştiği noktada yer alır ve ikincisi kasabanın içme suyunu sağlar. Şehrin Çevre Hizmetleri İdaresi’nden gelen bir bildiri, 22 Eylül’de arıtma tesisinin bir “siber güvenlik olayı.” Yetkililerle iletişime geçildi ve önlem tedbirleri alındı. En önemlisi, tesis tamamen manuel operasyonlara geçti – şehir yöneticisi Randy Frazer’ın bildiride belirttiğine göre, “tedbir amaçlı” alınan geçici bir karar.
“Olaya rağmen su temini tamamen güvenli kalmaya devam ediyor ve hizmette herhangi bir kesinti olmadı,” diye yazdı Frazer. “Sakinler içme sularının güvenli olduğundan emin olabilirler ve Şehir bu dönemde tam kontrol altında faaliyet gösteriyor.”
Yönetim, “Siber güvenlik uzmanları ve hükümet yetkilileri durumu çözmek ve tesisi normal faaliyetlerine döndürmek için çalışıyor. Su kaynağını korumak için şu anda gelişmiş güvenlik önlemleri uygulanıyor ve sakinler için su kalitesinde veya hizmetinde herhangi bir değişiklik beklenmiyor.” ifadelerini kullandı.
Dark Reading, olay hakkında daha fazla bilgi almak için Arkansas City ile iletişime geçti. Ayrıntılar yerine, Secure Cyber’ın CEO’su ve kurucusu Shawn Waldman, manuel operasyonlara geçişin bir miktar ciddiyet göstergesi olabileceğini belirtiyor.
“Geçtiğimiz Kasım ayında araştırdığımız bir ihlalde aslında hiç manuel moda geçmedik,” diye hatırlıyor. “İnsan-makine arayüzlerini (HMI’ler) izole edebildik ve Rus kötü amaçlı yazılımını içeride tuttuk ve tesisin normal şekilde çalışmasına izin verdik. Bir tesisi manuel moda geçirdiğinizde çalışanlar üzerinde çok fazla baskı oluyor. Bu son durum senaryosu — mecbur kalmadıkça manuel moda geçmek istemezsiniz.”
Son Teknoloji Sistemlerdeki Sorun
Endüstriyel kontrol sistemleri uzun zamandır eski, geleneksel ekipmanları günümüz siber güvenliğinin talepleriyle eşleştirmekte zorluk çekiyor.
Daha az konuşulan ise tam tersi bir sorundur: Daha fazla bağlantı düşünülerek tasarlanmış, daha yeni tesisler, çoğunlukla analog olan dinozorların sahip olmadığı saldırı yüzeylerini sunuyor.
Arkansas City’deki yeni 5,4 milyon galon/gün su arıtma tesisi Şubat 2018’de açıldı. İnşası 22 milyon dolara mal oldu ve “ileri teknoloji“Şehre operasyonel ve bakım maliyetlerinde %20’ye kadar tasarruf sağlaması bekleniyor. Siber güvenlik duruşunun tam niteliği bilinmiyor.
“Bir şehir çıkıp ‘Her şeyi yeniledik ve hepsi yeni ve iyi olmalıyız’ dediği için – bu harika, peki ya siber güvenlik?” diye soruyor Waldman. “Bazı şehirler kritik altyapılarını güvence altına almak için uygun yatırımlar yapmıyor.
“Benim şehrim de tam olarak bunu yaptı: Siber güvenliği geliştirmediklerini biliyorum, ancak tüm altyapıyı geliştirmek için yaklaşık 14 milyon dolar veya daha fazla harcadılar.”
Waldman, şehirlerin bütçelerinin güvenliğini göz ardı etmemesini sağlamak için, “EPA ve Kongre’nin öne çıkıp siber güvenlik için yeni EPA standardını geçirmesi gerekiyor. Bunu daha önce de denediler ve sonra dava edildiler. Peki biz neyi bıraktık? Bundan haftalar sonra, İran bir dizi saldırı başlattı Amerika Birleşik Devletleri’ndeki su sistemleri hakkında. Çünkü, büyük sürpriz, İran ABD haberlerini okuyor.”