Щатите и Конгресът се борят с киберсигурността на водоснабдителните дружества на фона на подновени федерални предупреждения
Тогава - заедно с няколко други водоснабдителни дружества - бяха поразени от това, което федералните власти казват, че подкрепяни от Иран хакери са се насочили към част от оборудването, специално защото е Произведено в Израел.
„Ако ми казахте да изброя 10 неща, които биха се объркали с нашия воден орган, това няма да е в списъка“, каза Матю Мотс, председател на органа, който борави с водата и отпадъчни води за около 22 000 души в гористите предградия около някогашен стоманен град извън Питсбърг.
Хакването на Общинския водоснабдителен орган на Аликипа предизвиква нови предупреждения от американските служители по сигурността в момент, когато щатите и федералното правителство се борят как да втвърдят водоснабдителните предприятия срещу кибератаки.
Опасността, казват служители, е хакерите да придобият контрол над автоматизираното оборудване за изключване на помпи, които доставят питейна вода или замърсяват питейната вода чрез препрограмиране на автоматизирани химически обработки. Освен Иран, други потенциално враждебни геополитически съперници, включително Китай, се разглеждат от американски служители като заплаха.
Редица държави се опитаха да засилят контрола, въпреки че защитниците на водните власти казват, че парите и експертният опит са какво наистина липсва на сектор от повече от 50 000 водоснабдителни компании, повечето от които са местни власти, които, подобно на Aliquippa, обслужват кътчета на страната, където жителите са със скромни средства и специалистите по киберсигурност са оскъдни.
Освен това комуналните услуги казват, че е трудно да се инвестира в киберсигурност, когато поддръжката на тръби и друга водна инфраструктура вече е недостатъчно финансирана и някои мерки за киберсигурност бяха наложени от частни водоснабдителни компании, предизвиквайки отпор от страна на публичните власти, че е се използва като заден вход към приватизацията.
Усилията придобиха нова спешност през 2021 г., когато водещата федерална правителствена агенция за киберсигурност съобщи за пет атаки срещу водните органи за две години, четири от които с ransomware и една пета от бивш служител.
В органа на Аликипа ирански хакери изключиха устройство с дистанционно управление, което следи и регулира налягането на водата в помпена станция. Клиентите не бяха засегнати, тъй като екипите, предупредени от аларма, бързо преминаха към ръчна работа - но не всеки воден орган има вградена ръчна резервна система.
С бездействие в Конгреса шепа щати приеха законодателство за засилване на контрола върху киберсигурността, включително Ню Джърси и Тенеси. Преди 2021 г. Индиана и Мисури бяха приели подобни закони. Закон от 2021 г. в Калифорния възложи на агенциите за държавна сигурност да разработят планове за обхват и финансиране за подобряване на киберсигурността в секторите на селското стопанство и водата.
Законодателството умря в няколко щата, включително Пенсилвания и Мериленд, където държавните водни органи се бориха срещу законопроекти, подкрепени от частни водни компании.
Частните водоснабдителни компании казват, че законопроектите ще принудят техните обществени колеги да спазват по-строгите регулаторни стандарти, пред които са изправени частните компании от комисионните за комунални услуги, и в резултат на това ще повишат общественото доверие в безопасността на чешмяната вода.
p>
„Това защитава чешмяната вода на нацията“, каза Дженифър Кочер, говорител на Националната асоциация на водните компании. „Това е най-икономичният избор за повечето семейства, но също така има липса на доверие от страна на много хора, които смятат, че могат да я пият, и всеки път, когато има един от тези проблеми, това подкопава доверието във водата и подкопава желанието на хората и имам доверие в пиенето му.“
Противниците казаха, че законодателството има за цел да наложи обременителни разходи на публичните органи и да насърчи техните управителни съвети и платци да продават на частни компании, които могат да убедят държавните комисии за комунални услуги да повишат цените, за да покрият разходи.
„Това е законопроект за приватизация“, каза Джъстин Фиоре от Общинската лига на Мериленд пред законодателите на Мериленд по време на изслушване миналата пролет. „Те се стремят да вземат публичните водоснабдителни дружества, да ги приватизират, като разширят тежестта, прекратят публичното финансиране.“
За много органи изискванията на киберсигурността са склонни да избледняват на фона на по-неотложните нужди от жителите са предпазливи от увеличаването на лихвите: стареещи тръби и нарастващи разходи за спазване на разпоредбите за чиста вода.
Един критик, сенаторът от щата Пенсилвания Кейти Мут, демократ от предградието на окръг Монтгомъри на Филаделфия, разкритикува законопроект, написан от Републиканската партия за липса на финансиране.
„Хората пият вода, която е под стандартите, но продажбата на корпорации, които ще увеличат лихвите за семействата в нашия щат, които не могат да си я позволят, не е решение“, каза Мут пред колеги по време дебат по законопроект от 2022 г.
Репутаторът от щата Пенсилвания Роб Маци, демократ, чийто район включва водоснабдителния орган на Аликипа, работи върху законодателство за създаване на поток от финансиране, за да помогне на водоснабдителните и електрическите компании да плащат за подобрения на киберсигурността след като потърси съществуващ източник на финансиране и не намери такъв.
„Властите по водоснабдяването и канализацията на Аликуипа? Те нямат парите“, каза Маци в интервю.
През март Агенцията за опазване на околната среда на САЩ предложи ново правило, което да изисква от държавите да проверяват киберсигурността на водните системи.
То беше краткотрайно.
Три щата - Арканзас, Мисури и Айова - заведоха дело, обвинявайки агенцията в превишаване на правомощията си и федералният апелативен съд незабавно отмени правилото. EPA оттегли правилото през октомври, въпреки че заместник-съветник по националната сигурност, Ан Нойбергер, каза на Асошиейтед прес, че може да е „идентифицирал уязвимости, които са били насочени през последните седмици.“
Две групи, които представляват обществена вода властите, Американската асоциация за водоснабдяване и Националната асоциация за селски води, се противопоставиха на правилото на EPA и сега подкрепят законопроекти в Конгреса за решаване на проблема по различни начини.
Един законопроект ще въведе стъпаловиден подход към регулирането: повече изисквания за по-големи или по-сложни водоснабдителни услуги. Другото е изменение на законодателството на Farm Bill за изпращане на федерални служители, наречени „верижни ездачи“ на полето, за да помогнат на по-малките и селските водоснабдителни системи да открият слабостите в киберсигурността и да се справят с тях.
Ако Конгресът не направи нищо, 6 години -старите стандарти на Закона за безопасна питейна вода все още ще бъдат в сила – до голяма степен доброволен режим, който както EPA, така и анализаторите на киберсигурността казват, че е постигнал минимален напредък.
Междувременно щатите са в разгара на кандидатстване за безвъзмездни средства от Федерална програма за киберсигурност на стойност 1 милиард долара, пари от федералния закон за инфраструктурата от 2021 г.
Но водоснабдителните предприятия ще трябва да се конкурират за парите с други комунални услуги, болници, полицейски управления, съдилища, училища, местни власти и други.
Робърт М. Лий, главен изпълнителен директор на Dragos Inc., която е специализирана в киберсигурността за промишлени системи за контрол, каза, че историята на водоснабдителния орган на Aliquippa – че не е получила помощ за киберсигурността – е често срещана.
„Тази история е за десетки хиляди комунални услуги в цялата страна“, каза Лий.
Поради това Dragos започна да предлага безплатен достъп до своята онлайн поддръжка и софтуер, който помага за откриване уязвимости и заплахи за водоснабдителните и електрическите компании, които привличат приходи под 100 милиона долара.
След като Русия нападна Украйна през 2022 г., Драгос тества идеята, като пусна софтуер, хардуер и инсталация на цена от няколко милиона долара за 30 комунални услуги.
„Беше невероятно, обратната връзка“, каза Лий. „Чудите се: „Хей, мисля, че мога да движа иглата по този начин“ ... и тези 30 бяха като „Майната му, никой никога не ни е обръщал внимание. Никой никога не се е опитвал да ни накара да помогнем.“
___
Следвайте Марк Леви на www.twitter.com/timelywriter.
