حذرت وكالة حماية البيئة يوم الاثنين من أن الهجمات الإلكترونية ضد مرافق المياه في جميع أنحاء البلاد أصبحت أكثر تكرارا وأكثر شدة، حيث أصدرت تنبيها تنفيذيا يحث أنظمة المياه على اتخاذ إجراءات فورية لحماية مياه الشرب في البلاد.
وقالت الوكالة إن حوالي 70% من المرافق التي قام المسؤولون الفيدراليون بتفتيشها خلال العام الماضي انتهكت المعايير التي تهدف إلى منع الانتهاكات أو التدخلات الأخرى. وحث المسؤولون حتى شبكات المياه الصغيرة على تحسين الحماية ضد الاختراقات. وقد استهدفت الهجمات الإلكترونية الأخيرة التي شنتها مجموعات تابعة لروسيا وإيران مجتمعات أصغر.
3 مليارات دولار لبرنامج استبدال الأنابيب الرصاصية التابع لوكالة حماية البيئة والذي تم إرساله إلى الولايات بناءً على بيانات لم يتم التحقق منها، حسبما تقول الوكالة الدولية للطاقة
وقال التنبيه إن بعض شبكات المياه تعاني من قصور في النواحي الأساسية، بما في ذلك الفشل في تغيير كلمات المرور الافتراضية أو قطع الوصول إلى النظام عن الموظفين السابقين. وقالت وكالة حماية البيئة إنه نظرًا لأن مرافق المياه تعتمد في كثير من الأحيان على برامج الكمبيوتر لتشغيل محطات المعالجة وأنظمة التوزيع، فإن حماية تكنولوجيا المعلومات وضوابط العمليات أمر بالغ الأهمية. تشمل الآثار المحتملة للهجمات الإلكترونية انقطاع معالجة المياه وتخزينها؛ تلف المضخات والصمامات. وقالت الوكالة وتغير المستويات الكيميائية إلى كميات خطرة.
وقالت وكالة حماية البيئة: “في كثير من الحالات، لا تقوم الأنظمة بما يفترض أن تفعله، وهو إكمال تقييم المخاطر لنقاط الضعف الخاصة بها والذي يشمل الأمن السيبراني والتأكد من توفر هذه الخطة وإرشادها للطريقة التي تؤدي بها أعمالها”. نائبة المدير جانيت مكابي.
إن المحاولات التي تقوم بها مجموعات خاصة أو أفراد للدخول إلى شبكة مزودي المياه وإزالة مواقع الويب أو تشويهها ليست جديدة. ومع ذلك، في الآونة الأخيرة، لم يستهدف المهاجمون مواقع الويب فحسب، بل استهدفوا عمليات المرافق بدلاً من ذلك.
الهجمات الأخيرة لا تتم من قبل كيانات خاصة فقط. ترتبط بعض عمليات الاختراق الأخيرة لمرافق المياه بمنافسين جيوسياسيين، ويمكن أن تؤدي إلى انقطاع إمدادات المياه الصالحة للشرب للمنازل والشركات.
ووصف مكابي الصين وروسيا وإيران بأنها الدول التي “تسعى بنشاط للحصول على القدرة على تعطيل البنية التحتية الحيوية للولايات المتحدة، بما في ذلك المياه ومياه الصرف الصحي”.
وفي أواخر العام الماضي، استهدفت مجموعة مرتبطة بإيران تسمى “Cyber Av3ngers” منظمات متعددة بما في ذلك مزود المياه الصغير في بلدة بنسلفانيا، مما أجبرها على التحول من المضخة البعيدة إلى العمليات اليدوية. وكانوا يبحثون عن جهاز إسرائيلي الصنع استخدمته الشركة في أعقاب الحرب التي شنتها إسرائيل ضد حماس.
وفي وقت سابق من هذا العام، حاول “ناشط قرصنة” مرتبط بروسيا تعطيل العمليات في العديد من المرافق في تكساس.
قال مسؤولون أمريكيون إن مجموعة إلكترونية مرتبطة بالصين تُعرف باسم فولت تايفون، قامت باختراق تكنولوجيا المعلومات الخاصة بالعديد من أنظمة البنية التحتية الحيوية، بما في ذلك مياه الشرب، في الولايات المتحدة والأقاليم التابعة لها. ويعتقد خبراء الأمن السيبراني أن المجموعة المتحالفة مع الصين تستعد لهجمات إلكترونية محتملة في حالة نشوب صراع مسلح أو تصاعد التوترات الجيوسياسية.
وقال داون كابيلي، خبير الأمن السيبراني في معهد ستانفورد للتكنولوجيا: “من خلال العمل خلف الكواليس مع هذه المجموعات الناشطة في مجال القرصنة الإلكترونية، أصبح لدى هذه (الدول القومية) الآن إمكانية إنكار معقولة ويمكنها السماح لهذه الجماعات بتنفيذ هجمات مدمرة. وهذا بالنسبة لي يغير قواعد اللعبة”. شركة إدارة المخاطر Dragos Inc.
يُعتقد أن القوى السيبرانية في العالم كانت تتسلل إلى البنية التحتية الحيوية للمنافسين منذ سنوات وزرعت برامج ضارة يمكن تشغيلها لتعطيل الخدمات الأساسية.
يهدف تنبيه التنفيذ إلى التأكيد على خطورة التهديدات السيبرانية وإبلاغ المرافق بأن وكالة حماية البيئة ستواصل عمليات التفتيش وستفرض عقوبات مدنية أو جنائية إذا وجدت مشاكل خطيرة.
وقال مكابي: “نريد أن نتأكد من أننا نبلغ الناس بأننا نجد الكثير من المشاكل هنا”.
يعد منع الهجمات ضد مزودي المياه جزءًا من الجهود الأوسع التي تبذلها إدارة بايدن لمكافحة التهديدات ضد البنية التحتية الحيوية. وفي فبراير/شباط، وقع الرئيس جو بايدن أمرا تنفيذيا لحماية الموانئ الأمريكية. لقد تعرضت أنظمة الرعاية الصحية للهجوم. وقد دفع البيت الأبيض مرافق الكهرباء إلى زيادة دفاعاتها أيضًا. طلب مدير وكالة حماية البيئة مايكل ريجان ومستشار الأمن القومي بالبيت الأبيض جيك سوليفان من الدول وضع خطة لمكافحة الهجمات الإلكترونية على أنظمة مياه الشرب.
وكتب ريجان وسوليفان في رسالة بتاريخ 18 مارس/آذار إلى جميع حكام الولايات المتحدة الخمسين: “تعد مياه الشرب وأنظمة الصرف الصحي هدفًا جذابًا للهجمات الإلكترونية لأنها تمثل قطاع البنية التحتية الحيوي، ولكنها غالبًا ما تفتقر إلى الموارد والقدرات الفنية اللازمة لتبني ممارسات الأمن السيبراني الصارمة”. .
وقال مكابي إن بعض الإصلاحات واضحة ومباشرة. على سبيل المثال، لا ينبغي لمزودي المياه استخدام كلمات المرور الافتراضية. إنهم بحاجة إلى تطوير خطة لتقييم المخاطر تتناول الأمن السيبراني وإنشاء أنظمة النسخ الاحتياطي. وتقول وكالة حماية البيئة إنها ستقوم بتدريب مرافق المياه التي تحتاج إلى المساعدة مجانًا. عادةً ما تتمتع المرافق الأكبر حجمًا بمزيد من الموارد والخبرة اللازمة للدفاع ضد الهجمات.
وقال آلان روبرسون، المدير التنفيذي لرابطة مسؤولي مياه الشرب في الولاية: “في عالم مثالي… نود أن يكون لدى الجميع مستوى أساسي من الأمن السيبراني وأن يكونوا قادرين على تأكيد حصولهم على ذلك”. “لكن هذا بعيد المنال.”
بعض العوائق أساسية. قطاع المياه مجزأ للغاية. هناك ما يقرب من 50 ألف مزود مياه مجتمعي، معظمهم يخدم المدن الصغيرة. إن التوظيف المتواضع والميزانيات الهزيلة في العديد من الأماكن يجعل من الصعب بما فيه الكفاية الحفاظ على الأساسيات – توفير المياه النظيفة ومواكبة أحدث اللوائح.
وقالت إيمي هاردبيرجر، خبيرة المياه في جامعة تكساس للتكنولوجيا: “من المؤكد أن الأمن السيبراني جزء من ذلك، لكن هذه لم تكن خبرتهم الأساسية على الإطلاق. لذا، فأنت الآن تطلب من مرافق المياه تطوير هذا النوع الجديد تمامًا من الإدارة” للتعامل مع التهديدات السيبرانية. جامعة.
وقد واجهت وكالة حماية البيئة انتكاسات. تقوم الولايات بشكل دوري بمراجعة أداء مقدمي المياه. في مارس 2023، أصدرت وكالة حماية البيئة تعليماتها للدول بإضافة تقييمات الأمن السيبراني إلى تلك المراجعات. إذا وجدوا مشاكل، كان من المفترض أن تفرض الدولة التحسينات.
لكن ميسوري وأركنساس وأيوا، التي انضمت إليها جمعية أعمال المياه الأمريكية ومجموعة أخرى لصناعة المياه، طعنت في التعليمات في المحكمة على أساس أن وكالة حماية البيئة لا تملك السلطة بموجب قانون مياه الشرب الآمنة. وبعد انتكاسة أمام المحكمة، سحبت وكالة حماية البيئة متطلباتها، لكنها حثت الدول على اتخاذ إجراءات طوعية على أية حال.
يتطلب قانون مياه الشرب الآمنة من بعض مقدمي المياه وضع خطط لبعض التهديدات والتأكيد على قيامهم بذلك. لكن قوتها محدودة.
وقال روبرسون: “لا توجد سلطة (للأمن السيبراني) في القانون”.
وقال كيفن مورلي، مدير العلاقات الفيدرالية مع جمعية أعمال المياه الأمريكية، إن بعض مرافق المياه بها مكونات متصلة بالإنترنت – وهي نقطة ضعف شائعة ولكنها كبيرة. يمكن أن يكون إصلاح هذه الأنظمة مهمة كبيرة ومكلفة. وبدون تمويل فيدرالي كبير، تكافح أنظمة المياه للعثور على الموارد.
نشرت مجموعة الصناعة إرشادات للمرافق والدعاة لإنشاء منظمة جديدة لخبراء الأمن السيبراني والمياه الذين من شأنه وضع سياسات جديدة وتنفيذها، بالشراكة مع وكالة حماية البيئة.
وقال مورلي: “دعونا نجمع الجميع بطريقة معقولة”، مضيفًا أن المرافق الصغيرة والكبيرة لها احتياجات وموارد مختلفة.
