Drinkwatersystemen worden steeds aantrekkelijkere doelwitten nu kwaadwillige hackactiviteiten wereldwijd toenemen, zo blijkt uit nieuwe waarschuwingen van veiligheidsdiensten over de hele wereld. Volgens deskundigen kunnen fundamentele tegenmaatregelen – waaronder het wijzigen van standaardwachtwoorden en het gebruik van meervoudige authenticatie – nog steeds een aanzienlijke verdediging bieden. Alleen al in de Verenigde Staten bieden ruim 50.000 gemeentelijke watersystemen echter ook een landschap van potentiële kwetsbaarheden, die de afgelopen maanden een speelterrein voor hackers zijn geweest.
Afgelopen november braken hackers die banden hadden met de Iraanse Islamitische Revolutionaire Garde bijvoorbeeld in in het watersysteem in de stad Aliquippa in het westen van Pennsylvania. In januari drongen infiltranten die banden hadden met een Russische activistengroep het watersysteem van een stad in Texas nabij de grens met New Mexico binnen. In geen enkel geval hebben de aanvallen aanzienlijke schade aan de systemen veroorzaakt.
Toch is de grotere dreiging nog steeds zeer reëel, aldus functionarissen. “Als we nadenken over cyberveiligheid en cyberdreigingen in de watersector, is dat geen hypothetische kwestie”, zei een woordvoerder van de Amerikaanse Environmental Protection Agency vorig jaar op een persconferentie. “Dit gebeurt nu.” Vervolgens merkte FBI-directeur Christopher Wray vorige maand op een openbaar forum in Nashville op dat het Chinese darknet Volt Typhoon (ook bekend als ‘Vanguard Panda’) had ingebroken in ‘kritieke telecommunicatie-, energie-, water- en andere infrastructuurvoorzieningen’. sectoren.”
“Deze aanvallen waren niet extreem geavanceerd.” —Katherine DiEmidio Ledesma, Dragos
Overzicht van cyberkwetsbaarheden in watersystemen uit 2021, gepubliceerd in het tijdschrift Waterbenadrukt de convergerende factoren van steeds meer AI-verbeterde en met internet verbonden tools die steeds grotere drinkwater- en afvalwatersystemen aandrijven.
“Deze recente cyberaanvallen in Pennsylvania en Texas benadrukken de toenemende incidentie van cyberbedreigingen voor watersystemen”, zegt studieauteur Nilufer Tuptuk, docent veiligheids- en misdaadwetenschappen aan het University College London. “In de loop der jaren is dit gevoel van urgentie toegenomen, als gevolg van de introductie van nieuwe technologieën zoals IoT-systemen en uitgebreide connectiviteit. Deze vooruitgang brengt hun eigen kwetsbaarheden met zich mee, en watersystemen zijn een belangrijk doelwit voor ervaren actoren, waaronder natiestaten.”
Volgens Katherine DiEmidio Ledesma, hoofd openbare orde en overheidszaken bij het in Washington D.C. gevestigde cyberbeveiligingsbedrijf Dragos, hebben beide aanvallen gaten geslagen die eigenlijk al gedicht hadden moeten worden. “Ik denk dat het interessante en het eerste waar we rekening mee moeten houden, is dat deze aanvallen niet extreem geavanceerd waren”, zegt ze. “Ze gebruikten zaken als standaardwachtwoorden en dergelijke om toegang te krijgen.”
Lage prioriteit, laaghangend fruit
Peter Hazell is cyber-fysieke beveiligingsmanager bij Yorkshire Water in Bradford, Engeland – en co-auteur Water Onderzoek naar cyberkwetsbaarheid in watersystemen 2021. Hij zegt dat het elektriciteitsnet van de Verenigde Staten relatief goed is uitgerust en bestand is tegen cyberaanvallen, althans vergeleken met de Amerikaanse watersystemen.
“De structuur van de waterindustrie in de Verenigde Staten verschilt aanzienlijk van die van Europa en het Verenigd Koninkrijk en wordt vaak bekritiseerd omdat er niet genoeg wordt geïnvesteerd in basisonderhoud, laat staan cyberveiligheid”, zegt Hazell. ‘Daarentegen heeft de Amerikaanse energiesector, na enkele aanzienlijke stroomuitval, het cruciale belang ervan ingezien… en zich gevestigd [the North American Electric Reliability Corporation] in antwoord. Er bestaat geen gelijkwaardig natuurbehoudsinitiatief voor de watersector in de Verenigde Staten, grotendeels vanwege het gefragmenteerde karakter ervan – dat doorgaans opereert als meerdere gemeentelijke aangelegenheden in plaats van het grote, onderling verbonden regionale model dat elders wordt aangetroffen.’
Maar DiEmidio Ledesma zegt dat het probleem van overvloed zich niet alleen in de Verenigde Staten voordoet. “Er zijn zoveel waterbedrijven in de wereld dat het volgens mij alleen maar een kwestie van cijfers is”, zegt ze. “Met de digitalisering komen er steeds meer risico’s van tegenstanders die zich via cybermiddelen op de watersector willen richten, omdat een waterbedrijf in Virginia nu erg op een waterbedrijf in Californië, een waterbedrijf in Europa, een waterbedrijf kan lijken. nut in Azië. Omdat ze dezelfde componenten gebruiken, kunnen ze dus op dezelfde manier worden getarget.
“En dus blijven we zien dat nutsbedrijven in kritieke infrastructuur en watervoorzieningen het doelwit zijn van tegenstanders”, voegt ze eraan toe. “Of we blijven tenminste horen van regeringen uit de Verenigde Staten en van andere regeringen dat zij het doelwit zijn.”
Dreigende onrust in de VS?
Vorige maand introduceerden congreslid Rick Crawford uit Arkansas en congreslid John Duarte uit Californië de Water Risk and Resilience Organization (WRRO) Act om een Amerikaans federaal agentschap op te richten om de bovengenoemde risico’s te monitoren en te beschermen. Volgens Kevin Morley, manager federale betrekkingen bij de in Washington gevestigde American Water Utilities Association, is dat een welkom teken van wat enige onmiddellijke verlichting zou kunnen zijn als het wetsvoorstel wet kan worden.
“We hebben een whitepaper ontwikkeld waarin we dit soort aanpak in 2021 aanbevelen”, zegt Morley. “Ik heb hiervan verschillende keren getuigd, gezien onze erkenning dat een bepaald niveau van standaardisatie noodzakelijk is om een gemeenschappelijk begrip van de verwachtingen te garanderen.”
“Ik denk dat de beste zin om het samen te vatten is: ‘richt je op de rijken, op de armen’.” —Katherine DiEmidio Ledesma, Dragos
Hazell van Yorkshire Water merkt op dat zelfs als het wetsvoorstel wet wordt, het misschien niet alles is wat de aanhangers ervan zouden willen. “Hoewel de ontwikkeling van de act bemoedigend is, lijkt het een beetje laat en beperkt te zijn”, zegt hij. Hazell wijst daarentegen op de netwerk- en informatiebeveiligingsrichtlijnen van respectievelijk het Verenigd Koninkrijk en de Europese Unie uit 2016 en 2023, die de cyberdefensie coördineren binnen de kritieke infrastructuur van een lidstaat. De lappendekenbenadering waar de Verenigde Staten voor lijken te kiezen, merkt hij op, zou nog steeds aanzienlijke gaten kunnen achterlaten.
“Ik denk dat de beste zin om het samen te vatten is: ‘richt je op de rijken, richt je op de armen'”, zegt DiEmidio Ledesma over de uitdagingen op het gebied van cyberveiligheid waarmee gemeentelijke watersystemen vandaag de dag worden geconfronteerd. “Het is een zeer gedistribueerd netwerk van kritieke infrastructuur. [There are] heel veel kleine watervoorzieningen, en [they’re] van cruciaal belang voor gemeenschappen in de Verenigde Staten en internationaal.”
Als reactie op opkomende dreigingen heeft Anne Neuberger, plaatsvervangend nationaal veiligheidsadviseur voor cyber- en opkomende technologieën van de VS, in maart een openbare oproep gedaan aan de Amerikaanse staten om vóór 20 mei verslag uit te brengen over hun plannen om de cyberbescherming van hun water- en afvalwatersystemen te garanderen. gecontacteerd door IEEE-spectrum Over de resultaten en reacties op de oproep van Neuberger weigerde de woordvoerder van het Amerikaanse ministerie van Buitenlandse Zaken commentaar te geven.
Uit artikelen op uw website
Gerelateerde artikelen op internet