Geçtiğimiz yıl ABD su tesislerine yönelik benzeri görülmemiş yüksek profilli siber saldırı dalgası devam etti.
Bir olayda, İran yanlısı bilgisayar korsanları Pittsburgh bölgesindeki bir su şebekesinin PLC’sine sızdılar ve dokunmatik ekranı İsrail karşıtı bir mesajla tahrif ederek, tesisatı geri almak su basıncı düzenleme sisteminin manuel kontrolüne. Geçici olarak 500 Kuzey Amerika topluluğu için su ve atık su operatörü kopmuş bağlantılar Fidye yazılımının bazı arka uç sistemlere sızıp müşterilerinin kişisel verilerini açığa çıkardıktan sonra BT ve OT ağları arasında bir saldırı gerçekleşti. ABD’nin düzenlemeye tabi en büyük su kuruluşunun müşteriye yönelik web siteleri ve telekomünikasyon ağı gitti Ekim ayındaki siber saldırının ardından karanlık.
Bunlar, son zamanlarda içme suyu ve atık su sistemlerinin güvenliği ve fiziksel güvenliği konusunda korkuya yol açan tüyler ürpertici hikayelerden sadece birkaçıydı. Siber saldırılar, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın uyarılarına ve güvenlik yönergelerine yol açtı (CISA), Beyaz Saray, FBI ve Ulusal İstihbarat Direktörü Ofisi (ODNI)), Çevre Koruma Ajansı (EPA)ve Su ISAC (Bilgi Paylaşımı ve Analiz Merkezi).
Saldırıların çoğu, esas olarak fırsatçı saldırılar olmak üzere, en yumuşak hedeflere, güvenlik uzmanlığı ve kaynaklarına sahip olmayan küçük su tesislerine gerçekleşti. Bu arada, Veolia ve American Water gibi büyük kamu hizmetlerine yönelik siber saldırılar OT sistemlerini değil BT sistemlerini vurdu; bunların hiçbiri aslında su hizmetlerini kesintiye uğratmadı. I&C Secure başkanı ve Massachusetts Su Kaynakları Otoritesi eski süreç kontrol mühendisi Gus Serino, genel olarak suya yönelik siber saldırıların esas olarak “etrafta dolaşmak ve güveni sarsmak” ile ilgili göründüğünü söylüyor.
Artık su sektörünü, özellikle de daha küçük, daha savunmasız tesisleri daha fazla siber saldırılara karşı koruma yarışı sürüyor. ICS/OT güvenlik danışmanlığı Digital Bond’un başkanı Dale Peterson, birçok büyük su şirketinin halihazırda OT ağlarının güvenliğini sağlama konusunda “oyunlarını hızlandırdığını” ve diğerlerinin de güvenlik altyapılarını yıllar önce oluşturmaya başladığını belirtiyor. “2000 yılındaki ilk müşterim bir su idaresiydi” diye anımsıyor. “Bazı [large utilities] çok uzun zamandır bunun üzerinde çalışıyoruz.”
Buradaki zorluk, daha küçük tesislerin güvenliğini, onlara gereksiz ve yüksek maliyetli güvenlik altyapısıyla aşırı yüklemeden sağlamakta yatmaktadır. Uzmanlık ve ek yük gerektiren araçlar, özel BT desteğinin bile olmadığı, siber bilgi birikiminin çok daha az olduğu siteler için başlangıç noktası değildir. Peterson, hükümetin gelişmiş güvenlik izleme sistemlerine yönelik tavsiyelerinin çoğu küçük kamu hizmeti kuruluşu için abartıdan ibaret olduğunu savunuyor. Bu küçük donanımların, fiziksel altyapılarındaki eskimiş veya hasar görmüş boruları değiştirmek gibi daha büyük ve daha somut öncelikleri olduğunu söylüyor.
ICS/OT Siber Riski: Suda Bir Şey mi Var?
Diğer ICS/OT endüstrileri gibi, her büyüklükteki su tesisleri, bir zamanlar izole edilmiş programlanabilir mantıksal kontrol (PLC) sistemleri ve uzaktan erişime sahip OT ekipmanlarıyla donatılıyor; böylece operatörler, su pompalarını kontrol etmek veya kontrol etmek için tesisleri uzaktan daha verimli bir şekilde izleyebilir ve yönetebilir. örneğin alarmlar. Bu, geleneksel olarak izole edilen ekipmanı riske attı.
“Pompaları çalıştırıyor ve durduruyorlar, değişiklikleri ayarlıyorlar, alarmlara veya arızalara yanıt veriyorlar [in] bir sistem. Neyin yanlış olduğunu görmek veya düzeltici eylemde bulunmak için SCADA/HMI ekranlarına uzaktan bakmak için uzaktan bakıyorlar” diye açıklıyor su hizmetleriyle yakın çalışan I&C Secure’dan Serino. Bu sistemlerin düzgün bir şekilde bölümlere ayrılmasının nadir olduğunu ve VPN’lerin “olmadığını” söylüyor Her zaman” güvenli uzaktan erişim için kullanılır.
Siemens gibi PLC satıcıları giderek daha fazla üretim yapıyor güvenlik özellikleri ancak su tesisleri genellikle bu yeni nesil donanımı çalıştırmıyor.
Serino, “Daha küçük su sahalarında henüz herhangi bir güvenli PLC’nin konuşlandırıldığını görmedim” diyor. “Yeni PLC’ler olsa bile güvenlik özellikleri ‘açık’ değil. Yani eğer [an attacker] Bu ağdaki cihaza girip erişim sağlayabilirseniz, bir PLC’ye yapabileceğiniz her şeyi yapabilirsiniz.”
Geleneksel olarak OT sistemlerini kuran birçok ICS/OT sistem entegratörü, su hizmet ağlarına yükledikleri ekipman ve yazılım için de güvenlik ayarlamadığından, bu ağlar genellikle açık bağlantı noktaları veya varsayılan kimlik bilgileriyle açıkta kalır. “Entegratörlere yardım etmemiz gerekiyor [and installing] Google Cloud Mandiant’ın ICS/OT danışmanlık uygulamasının teknik lideri ve Entergy’de eski bir kıdemli mühendis olan Chris Sistrunk, “Bu hizmetlere yönelik SCADA ekipmanları, bunların güvenlik altına alınmasını sağlıyor” diyor.
Varsayılan kimlik bilgileri, OT ağlarında ve ayrıca halka açık İnternet’te açıkta duran endüstriyel cihazlarda bulunan en yaygın güvenlik zayıflıklarından biridir. İran merkezli Cyber Av3ngers hack grubu İsrail yapımı Unitronics Vision Serisi PLC’lere kolaylıkla sızdı. Aliquippa Belediyesi Su İdaresi Tesis (diğer su tesisleri ve organizasyonlarının yanı sıra), yalnızca PLC’lerin kolayca keşfedilebilen fabrika ayarı kimlik bilgileriyle oturum açarak.
İyi haber şu ki, Black & Veatch gibi bazı büyük sistem entegratörleri, yeni OT kurulumlarında güvenlik oluşturmak için büyük su kuruluşlarıyla çalışıyor. Black & Veatch’in küresel endüstriyel siber güvenlikten sorumlu başkan yardımcısı Ian Bramson, ekibinin güvenliği fiziksel bir güvenlik sorunu olarak gören kamu hizmet kuruluşlarıyla çalıştığını söylüyor. “İnşaat yapmak istiyorlar [security] zayıf siber güvenlik güvenlik kontrollerinden kaynaklanan herhangi bir fiziksel güvenlik sonucunu önlemek için, “diye açıklıyor.
Su için Siber Güvenlik Temizliği
Bu arada, kaynak sıkıntısı çeken su tesisleri için pek çok ücretsiz siber güvenlik kaynağı mevcut. Water-ISAC’ın ilk 12’si Güvenlik Temelleri ve Amerikan Su İşleri Birliği’nin (AWWA) ücretsiz güvenlik değerlendirmesi su hizmetleri için araç bu onların ortamlarını NIST Siber Güvenlik Çerçevesi ile eşleştirmelerine yardımcı olur. AWWA’nın federal ilişkiler yöneticisi ve kamu hizmeti siber güvenlik uzmanı Kevin Morley, aracın, kamu hizmeti teknolojisine ilişkin bir araştırmayı içerdiğini ve ardından risk ve dayanıklılığa odaklanarak kurumun benimsemesi ve ele alması gereken güvenlik kontrollerinin bir öncelik listesini sunduğunu söylüyor.
Tesisin güvenlik zayıflıklarının ve risklerinin nerede yattığına dair “bir ısı haritası oluşturduğunu” söylüyor. Bu, bir kamu hizmeti kuruluşunun bütçe sürecinde bir siber güvenlik iş senaryosu ile donatılmasına yardımcı olur. “Liderliğe gidip ‘Bu analizi yaptık ve bulduğumuz şey bu’ diyebilirler” diye açıklıyor.
Ayrıca kırsal su kuruluşlarına yardımcı olan yeni bir siber gönüllü programı da var. Ulusal Kırsal Su Derneği yakın zamanda gönüllü siber güvenlik uzmanlarını siber yardıma ihtiyacı olan kamu hizmetleriyle eşleştirmek için DEF CON ile birlikte çalıştı. Utah, Vermont, Indiana ve Oregon’daki altı hizmet tesisi, ısmarlama DEF CON’un ilk grubunu kapsıyor Franklin’in projesi, Gönüllü ICS/OT güvenlik uzmanlarının güvenlik durumlarını değerlendireceği ve OT sistemlerini siber tehditlere karşı güvence altına almalarına ve korumalarına yardımcı olacakları yer.
Bazı küçük hizmet kuruluşlarında gönüllü siber uzman olarak görev yapan Mandiant’tan Sistrunk, küçük (ve büyük) kuruluşların savunmalarını geliştirmek için atması gereken üç ana ve temel güvenlik adımına dikkat çekiyor: özellikle OT sistemlerine uzaktan erişim için çok faktörlü kimlik doğrulamayı yürürlüğe koymak; yedeklemeleri çevrimdışı olarak veya güvenilir bir üçüncü tarafla saklayın; ve bir siber saldırı gerçekleştiğinde kimi arayacağınıza dair yazılı bir yanıt planınız olsun.
Serino aynı zamanda bir güvenlik duvarı da öneriyor. “Eğer yoksa bir güvenlik duvarı edinin ve onu veri giriş ve çıkışlarını kontrol edecek şekilde yapılandırıp kilitleyin” diyor. Bir su şebekesindeki güvenlik duvarlarının yanlış yapılandırılması ve giden trafiğe tamamen açık bırakılmasının yaygın bir durum olduğunu belirtiyor: “Eğer bir düşman içeri girebilirse, kendi kalıcılığını ve komuta ve kontrolünü kurabilir, böylece giden her iki taraf için de çevreyi sertleştirebilirler.” ve gelen trafik önemlidir.
Ayrıca, özellikle kayıt ve tespit işlemlerini destekleyecek kaynaklara sahip daha büyük su tesisleri için OT sistemlerinin merkezi olarak kayıt altına alınmasını da öneriyor: “Bir sorunu tespit etme yeteneğine sahip olun, böylece bir etki yaratma nihai hedefine ulaşmadan önce onu durdurabilirsiniz.”
