تم الكشف عن فجوات الأمن السيبراني في الولايات المتحدة مع استهداف مرافق المياه من قبل المتسللين

• أصبحت هيئة مياه أليكيبا في غرب ولاية بنسلفانيا ضحية لهجوم إلكتروني دولي، إلى جانب مرافق المياه الأمريكية الأخرى.
• وأثار الهجوم مخاوف مسؤولي الأمن الأمريكيين بشأن مدى تعرض مرافق المياه للتهديدات السيبرانية.
• وعلى الرغم من التهديدات المتزايدة، فإن العديد من مرافق المياه، وخاصة الصغيرة منها، تفتقر إلى الأموال والخبرة اللازمة لاتخاذ تدابير فعالة للأمن السيبراني.

ربما كانت هيئة مياه أليكيبا الصغيرة في غرب بنسلفانيا هي الضحية الأقل اشتباهًا لهجوم إلكتروني دولي.

ولم تحصل قط على مساعدة خارجية في حماية أنظمتها من أي هجوم إلكتروني، سواء في مصنعها الحالي الذي يعود تاريخه إلى الثلاثينيات أو المصنع الجديد الذي تقوم ببنائه بتكلفة 18.5 مليون دولار.

ثم تعرضت – إلى جانب العديد من مرافق المياه الأخرى – لما تقول السلطات الفيدرالية إنهم قراصنة مدعومون من إيران يستهدفون قطعة من المعدات على وجه التحديد لأنها مصنوعة في إسرائيل.

وقال ماثيو موتس، رئيس الهيئة التي تتولى معالجة المياه ومياه الصرف الصحي لنحو 22 ألف شخص في الضواحي الحرجية المحيطة: “إذا طلبت مني أن أدرج 10 أشياء قد تسوء في هيئة المياه لدينا، فلن يكون هذا مدرجا في القائمة”. مدينة فولاذية ذات يوم خارج بيتسبرغ.

حثت وزارة العدل الأمريكية على التحقيق بعد أن خرق قراصنة أجانب إمدادات المياه في بنسلفانيا

أدى اختراق هيئة المياه البلدية في أليكيبا إلى إطلاق تحذيرات جديدة من مسؤولي الأمن الأمريكيين في وقت تتصارع فيه الولايات والحكومة الفيدرالية حول كيفية تقوية مرافق المياه ضد الهجمات الإلكترونية.

ويقول المسؤولون إن الخطر يكمن في سيطرة المتسللين على المعدات الآلية لإغلاق المضخات التي توفر مياه الشرب أو تلويث مياه الشرب عن طريق إعادة برمجة المعالجات الكيميائية الآلية. وإلى جانب إيران، ينظر المسؤولون الأمريكيون إلى المنافسين الجيوسياسيين الآخرين الذين يحتمل أن يكونوا معاديين، بما في ذلك الصين، على أنهم تهديد.

وقد سعى عدد من الولايات إلى تكثيف التدقيق، على الرغم من أن المدافعين عن سلطة المياه يقولون إن المال والخبرة هما ما ينقص بالفعل في قطاع يضم أكثر من 50 ألف مرفق مياه، معظمها سلطات محلية تخدم، مثل أليكيبا، مناطق مختلفة من العالم. البلد الذي يتمتع سكانه بإمكانات متواضعة ويندر فيه متخصصو الأمن السيبراني.

علاوة على ذلك، تقول المرافق، إنه من الصعب الاستثمار في الأمن السيبراني عندما تكون صيانة الأنابيب والبنية التحتية الأخرى للمياه تعاني من نقص التمويل بالفعل، وقد تم دفع بعض تدابير الأمن السيبراني من قبل شركات المياه الخاصة، مما أثار معارضة السلطات العامة لاستخدامها كباب خلفي لمصادر المياه. الخصخصة.

إمدادات المياه في بنسلفانيا مهددة بعد أن استهدف المتسللون هيئة المياه، كما تقول وكالة الأمن السيبراني

اكتسبت الجهود أهمية جديدة في عام 2021 عندما أبلغت وكالة الأمن السيبراني الرائدة التابعة للحكومة الفيدرالية عن خمس هجمات على سلطات المياه على مدى عامين، أربعة منها عبارة عن برامج فدية والخامسة من قبل موظف سابق.

وفي سلطة أليكيبا، قام قراصنة إيرانيون بتعطيل جهاز يتم التحكم فيه عن بعد لمراقبة وتنظيم ضغط المياه في محطة الضخ. لم يتأثر العملاء لأن أطقم العمل التي تم تنبيهها بواسطة إنذار تحولت بسرعة إلى التشغيل اليدوي – ولكن ليس لدى كل هيئة مياه نظام نسخ احتياطي يدوي مدمج.

ومع تقاعس الكونجرس عن اتخاذ إجراء، أصدرت مجموعة من الولايات تشريعات لتعزيز التدقيق في الأمن السيبراني، بما في ذلك نيوجيرسي وتينيسي. قبل عام 2021، أقرت إنديانا وميسوري قوانين مماثلة. كلف قانون كاليفورنيا لعام 2021 وكالات أمن الولاية بوضع خطط توعية وتمويل لتحسين الأمن السيبراني في قطاعي الزراعة والمياه.

توقفت التشريعات في عدة ولايات، بما في ذلك ولاية بنسلفانيا وماريلاند، حيث حاربت سلطات المياه العامة مشاريع القوانين المدعومة من قبل شركات المياه الخاصة.

وتقول شركات المياه الخاصة إن مشاريع القوانين ستجبر نظيراتها العامة على الالتزام بالمعايير التنظيمية الأكثر صرامة التي تواجهها الشركات الخاصة من عمولات المرافق، ونتيجة لذلك، تعزز ثقة الجمهور في سلامة مياه الصنبور.

وقالت جينيفر كوشر، المتحدثة باسم الرابطة الوطنية لشركات المياه: “إنها تحمي مياه الصنبور في البلاد”. “إنه الخيار الأكثر اقتصادا بالنسبة لمعظم الأسر، ولكنه يفتقر أيضا إلى الثقة من جانب الكثير من الناس الذين يعتقدون أنهم يستطيعون شربه، وفي كل مرة تكون هناك إحدى هذه المشكلات، فإنها تقوض الثقة في المياه وتقوض رغبة الناس ورغبتهم في ذلك.” الثقة في شربه.”

وقال المعارضون إن التشريع يهدف إلى فرض تكاليف مرهقة على السلطات العامة وتشجيع مجالس إدارتها ودافعي الضرائب على البيع لشركات خاصة يمكنها إقناع لجان المرافق الحكومية برفع الأسعار لتغطية التكاليف.

وقال جوستين فيوري من رابطة بلدية ماريلاند لمشرعي ماريلاند خلال جلسة استماع في الربيع الماضي: “هذا مشروع قانون للخصخصة”. “إنهم يسعون إلى الاستيلاء على شركات المياه العامة، وخصخصتها من خلال زيادة العبء، وخفض التمويل العام”.

بالنسبة للعديد من السلطات، تميل متطلبات الأمن السيبراني إلى التلاشي في خلفية الاحتياجات الأكثر إلحاحًا للمقيمين الذين يشعرون بالقلق من الزيادات في الأسعار: الأنابيب القديمة وزيادة تكاليف الامتثال للوائح المياه النظيفة.

وانتقدت إحدى الناقدات، وهي سناتور ولاية بنسلفانيا كاتي موث، وهي ديمقراطية من مقاطعة مونتغومري بضواحي فيلادلفيا، مشروع قانون صاغه الحزب الجمهوري بسبب نقص التمويل.

وقال موث لزملائه أثناء مناقشة مشروع قانون عام 2022: “الناس يشربون مياهًا أقل من المعايير، لكن البيع للشركات التي سترفع الأسعار على الأسر في جميع أنحاء ولايتنا التي لا تستطيع تحمل تكاليفها ليس حلاً”.

يعمل النائب عن ولاية بنسلفانيا روب ماتزي، وهو ديمقراطي تضم منطقته هيئة مياه أليكيبا، على تشريع لإنشاء تدفق تمويل لمساعدة مرافق المياه والكهرباء على دفع تكاليف ترقيات الأمن السيبراني بعد أن بحث عن مصدر تمويل حالي ولم يجد شيئًا.

وقال ماتزي في مقابلة: “هيئة المياه والصرف الصحي في أليكيبا؟ ليس لديهم المال”.

في مارس/آذار، اقترحت وكالة حماية البيئة الأمريكية قاعدة جديدة تلزم الدول بمراجعة الأمن السيبراني لأنظمة المياه.

كانت قصيرة العمر.

ورفعت ثلاث ولايات – أركنساس وميسوري وأيوا – دعوى قضائية متهمة الوكالة بتجاوز سلطتها، وسرعان ما علقت محكمة الاستئناف الفيدرالية القاعدة. وسحبت وكالة حماية البيئة القاعدة في أكتوبر/تشرين الأول، على الرغم من أن نائبة مستشار الأمن القومي، آن نويبرجر، قالت لوكالة أسوشيتد برس إنه كان من الممكن أن تكون “حددت نقاط الضعف التي تم استهدافها في الأسابيع الأخيرة”.

عارضت مجموعتان تمثلان سلطات المياه العامة، جمعية أعمال المياه الأمريكية والجمعية الوطنية للمياه الريفية، قاعدة وكالة حماية البيئة، وهما الآن يدعمان مشاريع القوانين في الكونجرس لمعالجة هذه القضية بطرق مختلفة.

من شأن أحد مشاريع القوانين أن يطرح نهجًا متدرجًا للتنظيم: المزيد من المتطلبات لمرافق المياه الأكبر أو الأكثر تعقيدًا. والآخر هو تعديل لتشريعات مشروع قانون المزرعة لإرسال موظفين فيدراليين يُطلق عليهم اسم “راكبي الدائرة” إلى الميدان لمساعدة شبكات المياه الصغيرة والريفية على اكتشاف نقاط الضعف في الأمن السيبراني ومعالجتها.

إذا لم يفعل الكونجرس شيئًا، فستظل معايير قانون مياه الشرب الآمنة البالغة من العمر 6 سنوات سارية، وهو نظام طوعي إلى حد كبير يقول كل من وكالة حماية البيئة ومحللي الأمن السيبراني إنه حقق الحد الأدنى من التقدم.

وفي الوقت نفسه، فإن الولايات في خضم التقدم بطلب للحصول على منح من برنامج الأمن السيبراني الفيدرالي بقيمة مليار دولار، وأموال من قانون البنية التحتية الفيدرالي لعام 2021.

ولكن سيتعين على مرافق المياه التنافس على الأموال مع المرافق الأخرى والمستشفيات وأقسام الشرطة والمحاكم والمدارس والحكومات المحلية وغيرها.

وقال روبرت إم لي، الرئيس التنفيذي لشركة Dragos Inc.، المتخصصة في الأمن السيبراني لأنظمة التحكم الصناعية، إن قصة هيئة المياه في أليكيبا – التي لم تحصل على مساعدة في مجال الأمن السيبراني – شائعة.

وقال لي: “هذه القصة تتعلق بعشرات الآلاف من المرافق في جميع أنحاء البلاد”.

اختراق إمدادات المياه في بلدة صغيرة بفلوريدا على غرار الهجوم الإسرائيلي الذي ألقي باللوم فيه على إيران

ولهذا السبب، بدأت Dragos في توفير الوصول المجاني إلى دعمها وبرامجها عبر الإنترنت التي تساعد في اكتشاف نقاط الضعف والتهديدات لمرافق المياه والكهرباء التي تدر إيرادات تقل عن 100 مليون دولار.

بعد أن هاجمت روسيا أوكرانيا في عام 2022، اختبر دراغوس الفكرة من خلال طرح البرامج والأجهزة والتثبيت بتكلفة مليوني دولار لـ 30 مرفقًا.

قال لي: “لقد كانت ردود الفعل مذهلة”. “تتساءل: “أعتقد أنني أستطيع تحريك الإبرة بهذه الطريقة”… وكان هؤلاء الثلاثون يقولون: “يا إلهي، لم يهتم أحد بنا على الإطلاق. لم يحاول أحد على الإطلاق أن يطلب منا المساعدة”.