WASHINGTON: Cyberangriffe gegen Wasser Zubehör im ganzen Land werden immer häufiger und schwerwiegender Umweltschutzbehörde warnte am Montag, als es eine Durchsetzungswarnung herausgab, in der die Wassersysteme aufgefordert wurden, sofort Maßnahmen zum Schutz des Trinkwassers des Landes zu ergreifen.
Etwa 70 % der Versorgungsunternehmen wurden im letzten Jahr von Bundesbeamten inspiziert gegen Standards verstoßen Dies solle Verstöße oder andere Eingriffe verhindern, sagte die Agentur. Beamte forderten sogar kleine Wassersysteme auf, den Schutz vor Hacks zu verbessern. Jüngste Cyberangriffe durch Gruppen Mit Russland und dem Iran verbundene Organisationen haben kleinere Gemeinden ins Visier genommen.
In der Warnung heißt es, dass einige Wassersysteme grundlegende Mängel aufweisen, darunter das Versäumnis, Standardkennwörter zu ändern oder den Systemzugang für ehemalige Mitarbeiter zu sperren. Da Wasserversorger häufig auf Computersoftware angewiesen sind, um Aufbereitungsanlagen und Verteilungssysteme zu betreiben, ist der Schutz von Informationstechnologie und Prozesskontrollen von entscheidender Bedeutung, so die EPA. Zu den möglichen Auswirkungen von Cyberangriffen gehören Unterbrechungen der Wasseraufbereitung und -speicherung; Schäden an Pumpen und Ventilen; und Änderung der chemischen Konzentrationen auf gefährliche Mengen, sagte die Agentur.
„In vielen Fällen tun Systeme nicht das, was sie tun sollen, nämlich eine Risikobewertung ihrer Schwachstellen durchzuführen, die auch Cybersicherheit einschließt und sicherzustellen, dass ein Plan verfügbar ist und Informationen über die Art und Weise ihrer Geschäftsabwicklung liefert“, sagte die EPA Stellvertretende Administratorin Janet McCabe.
Versuche privater Gruppen oder Einzelpersonen, in das Netzwerk eines Wasserversorgers einzudringen und Websites zu zerstören oder zu verunstalten, sind nicht neu. In jüngerer Zeit haben es Angreifer jedoch nicht nur auf Websites abgesehen, sondern auch auf den Betrieb von Versorgungsunternehmen.
Die jüngsten Angriffe werden nicht nur von privaten Unternehmen begangen. Einige der jüngsten Angriffe auf Wasserversorger stehen im Zusammenhang mit geopolitischen Konkurrenten und könnten zu einer Unterbrechung der Versorgung von Haushalten und Unternehmen mit sauberem Wasser führen.
McCabe nannte China, Russland und den Iran als die Länder, die „aktiv nach der Fähigkeit zur Deaktivierung streben“. Kritische Infrastruktur der USAeinschließlich Wasser und Abwasser.“
Ende letzten Jahres nahm eine mit dem Iran verbundene Gruppe namens „Cyber Av3ngers“ mehrere Organisationen ins Visier, darunter den Wasserversorger einer kleinen Stadt in Pennsylvania, und zwang ihn, von einer Fernpumpe auf manuellen Betrieb umzusteigen. Sie hatten es auf ein in Israel hergestelltes Gerät abgesehen, das der Energieversorger im Zuge des israelischen Krieges gegen die Hamas eingesetzt hatte.
Anfang des Jahres versuchte ein mit Russland verbundener „Hacktivist“, den Betrieb mehrerer texanischer Versorgungsunternehmen zu stören.
Eine mit China verbundene Cybergruppe namens Volt Typhoon hat die Informationstechnologie mehrerer kritischer Infrastruktursysteme, einschließlich Trinkwasser, in den Vereinigten Staaten und ihren Territorien kompromittiert, sagten US-Beamte. Cybersicherheitsexperten gehen davon aus, dass sich die mit China verbündete Gruppe für mögliche Cyberangriffe im Falle eines bewaffneten Konflikts oder zunehmender geopolitischer Spannungen positioniert.
„Durch die Zusammenarbeit hinter den Kulissen mit diesen Hacktivistengruppen haben diese (Nationalstaaten) nun eine plausible Leugnung und können diese Gruppen zerstörerische Angriffe durchführen lassen. Und das ist für mich ein Wendepunkt“, sagte Dawn Cappelli, Cybersicherheitsexpertin bei das Cybersicherheitsunternehmen Dragos Inc.
Es wird angenommen, dass die Cybermächte der Welt seit Jahren die kritische Infrastruktur ihrer Konkurrenten infiltrieren und Malware einschleusen, die ausgelöst werden könnte, um grundlegende Dienste zu stören.
Die Durchsetzungswarnung soll die Schwere der Cyberbedrohungen hervorheben und die Versorgungsunternehmen darüber informieren, dass die EPA ihre Inspektionen fortsetzen und zivil- oder strafrechtliche Sanktionen verhängen wird, wenn sie schwerwiegende Probleme feststellen.
„Wir wollen sicherstellen, dass wir den Leuten sagen: ‚Hey, wir haben hier eine Menge Probleme‘“, sagte McCabe.
Die Verhinderung von Angriffen auf Wasserversorger ist Teil der umfassenderen Bemühungen der Biden-Regierung, Bedrohungen kritischer Infrastrukturen zu bekämpfen. Im Februar unterzeichnete Präsident Joe Biden eine Durchführungsverordnung zum Schutz der US-Häfen. Gesundheitssysteme wurden angegriffen. Das Weiße Haus hat auch die Energieversorger dazu gedrängt, ihre Abwehrmaßnahmen zu verstärken. EPA-Administrator Michael Regan und der Nationale Sicherheitsberater des Weißen Hauses, Jake Sullivan, haben die Staaten gebeten, einen Plan zur Bekämpfung von Cyberangriffen auf Trinkwassersysteme auszuarbeiten.
„Trinkwasser- und Abwassersysteme sind ein attraktives Ziel für Cyberangriffe, da sie ein lebenswichtiger Infrastruktursektor sind, aber oft nicht über die Ressourcen und technischen Kapazitäten verfügen, um strenge Cybersicherheitspraktiken einzuführen“, schrieben Regan und Sullivan in einem Brief vom 18. März an alle 50 US-Gouverneure .
Einige der Korrekturen seien unkompliziert, sagte McCabe. Wasserversorger sollten beispielsweise keine Standardpasswörter verwenden. Sie müssen einen Risikobewertungsplan entwickeln, der sich mit der Cybersicherheit befasst, und Backup-Systeme einrichten. Die EPA sagt, dass sie Wasserversorger, die Hilfe benötigen, kostenlos schulen werden. Größere Versorgungsunternehmen verfügen in der Regel über mehr Ressourcen und das Fachwissen, um sich gegen Angriffe zu verteidigen.
„In einer idealen Welt … möchten wir, dass jeder über ein grundlegendes Maß an Cybersicherheit verfügt und bestätigen kann, dass er darüber verfügt“, sagte Alan Roberson, Geschäftsführer der Association of State Drinking Water Administrators. „Aber das ist noch weit weg.“
Einige Hindernisse sind grundlegend. Der Wassersektor ist stark fragmentiert. Es gibt rund 50.000 kommunale Wasserversorger, von denen die meisten Kleinstädte versorgen. Bescheidener Personalbestand und dürftige Budgets machen es vielerorts schwer genug, das Wesentliche aufrechtzuerhalten – sauberes Wasser bereitzustellen und mit den neuesten Vorschriften Schritt zu halten.
„Sicherlich ist Cybersicherheit ein Teil davon, aber das war nie ihre Hauptkompetenz. Jetzt bitten Sie einen Wasserversorger, diese ganz neue Art von Abteilung zu entwickeln“, um Cyberbedrohungen zu bewältigen, sagte Amy Hardberger, Wasserexpertin bei Texas Tech Universität.
Die EPA musste Rückschläge hinnehmen. Die Staaten überprüfen regelmäßig die Leistung der Wasserversorger. Im März 2023 wies die EPA die Staaten an, diesen Überprüfungen Cybersicherheitsbewertungen hinzuzufügen. Wenn sie Probleme feststellten, sollte der Staat Verbesserungen erzwingen.
Doch Missouri, Arkansas und Iowa fochten die Anweisungen vor Gericht an, unterstützt von der American Water Works Association und einer weiteren Gruppe der Wasserwirtschaft, mit der Begründung, dass die EPA nach dem Safe Drinking Water Act nicht die erforderliche Autorität habe. Nach einem Rückschlag vor Gericht zog die EPA ihre Auflagen zurück, forderte die Bundesstaaten jedoch auf, trotzdem freiwillige Maßnahmen zu ergreifen.
Das Gesetz über sicheres Trinkwasser verlangt von bestimmten Wasserversorgern, Pläne für bestimmte Bedrohungen zu entwickeln und zu bestätigen, dass sie dies getan haben. Aber seine Macht ist begrenzt.
„Es gibt einfach keine Autorität für (Cybersicherheit) im Gesetz“, sagte Roberson.
Kevin Morley, Manager für Bundesbeziehungen bei der American Water Works Association, sagte, dass einige Wasserversorger über Komponenten verfügen, die mit dem Internet verbunden sind – eine häufige, aber erhebliche Schwachstelle. Die Überholung dieser Systeme kann eine umfangreiche und kostspielige Aufgabe sein. Und ohne erhebliche Bundesmittel haben Wassersysteme Schwierigkeiten, Ressourcen zu finden.
Die Industriegruppe hat Leitlinien für Versorgungsunternehmen veröffentlicht und plädiert für die Gründung einer neuen Organisation von Cybersicherheits- und Wasserexperten, die in Zusammenarbeit mit der EPA neue Richtlinien entwickeln und diese durchsetzen soll.
„Lasst uns alle auf vernünftige Weise mitnehmen“, sagte Morley und fügte hinzu, dass kleine und große Versorgungsunternehmen unterschiedliche Bedürfnisse und Ressourcen haben.
Etwa 70 % der Versorgungsunternehmen wurden im letzten Jahr von Bundesbeamten inspiziert gegen Standards verstoßen Dies solle Verstöße oder andere Eingriffe verhindern, sagte die Agentur. Beamte forderten sogar kleine Wassersysteme auf, den Schutz vor Hacks zu verbessern. Jüngste Cyberangriffe durch Gruppen Mit Russland und dem Iran verbundene Organisationen haben kleinere Gemeinden ins Visier genommen.
In der Warnung heißt es, dass einige Wassersysteme grundlegende Mängel aufweisen, darunter das Versäumnis, Standardkennwörter zu ändern oder den Systemzugang für ehemalige Mitarbeiter zu sperren. Da Wasserversorger häufig auf Computersoftware angewiesen sind, um Aufbereitungsanlagen und Verteilungssysteme zu betreiben, ist der Schutz von Informationstechnologie und Prozesskontrollen von entscheidender Bedeutung, so die EPA. Zu den möglichen Auswirkungen von Cyberangriffen gehören Unterbrechungen der Wasseraufbereitung und -speicherung; Schäden an Pumpen und Ventilen; und Änderung der chemischen Konzentrationen auf gefährliche Mengen, sagte die Agentur.
„In vielen Fällen tun Systeme nicht das, was sie tun sollen, nämlich eine Risikobewertung ihrer Schwachstellen durchzuführen, die auch Cybersicherheit einschließt und sicherzustellen, dass ein Plan verfügbar ist und Informationen über die Art und Weise ihrer Geschäftsabwicklung liefert“, sagte die EPA Stellvertretende Administratorin Janet McCabe.
Versuche privater Gruppen oder Einzelpersonen, in das Netzwerk eines Wasserversorgers einzudringen und Websites zu zerstören oder zu verunstalten, sind nicht neu. In jüngerer Zeit haben es Angreifer jedoch nicht nur auf Websites abgesehen, sondern auch auf den Betrieb von Versorgungsunternehmen.
Die jüngsten Angriffe werden nicht nur von privaten Unternehmen begangen. Einige der jüngsten Angriffe auf Wasserversorger stehen im Zusammenhang mit geopolitischen Konkurrenten und könnten zu einer Unterbrechung der Versorgung von Haushalten und Unternehmen mit sauberem Wasser führen.
McCabe nannte China, Russland und den Iran als die Länder, die „aktiv nach der Fähigkeit zur Deaktivierung streben“. Kritische Infrastruktur der USAeinschließlich Wasser und Abwasser.“
Ende letzten Jahres nahm eine mit dem Iran verbundene Gruppe namens „Cyber Av3ngers“ mehrere Organisationen ins Visier, darunter den Wasserversorger einer kleinen Stadt in Pennsylvania, und zwang ihn, von einer Fernpumpe auf manuellen Betrieb umzusteigen. Sie hatten es auf ein in Israel hergestelltes Gerät abgesehen, das der Energieversorger im Zuge des israelischen Krieges gegen die Hamas eingesetzt hatte.
Anfang des Jahres versuchte ein mit Russland verbundener „Hacktivist“, den Betrieb mehrerer texanischer Versorgungsunternehmen zu stören.
Eine mit China verbundene Cybergruppe namens Volt Typhoon hat die Informationstechnologie mehrerer kritischer Infrastruktursysteme, einschließlich Trinkwasser, in den Vereinigten Staaten und ihren Territorien kompromittiert, sagten US-Beamte. Cybersicherheitsexperten gehen davon aus, dass sich die mit China verbündete Gruppe für mögliche Cyberangriffe im Falle eines bewaffneten Konflikts oder zunehmender geopolitischer Spannungen positioniert.
„Durch die Zusammenarbeit hinter den Kulissen mit diesen Hacktivistengruppen haben diese (Nationalstaaten) nun eine plausible Leugnung und können diese Gruppen zerstörerische Angriffe durchführen lassen. Und das ist für mich ein Wendepunkt“, sagte Dawn Cappelli, Cybersicherheitsexpertin bei das Cybersicherheitsunternehmen Dragos Inc.
Es wird angenommen, dass die Cybermächte der Welt seit Jahren die kritische Infrastruktur ihrer Konkurrenten infiltrieren und Malware einschleusen, die ausgelöst werden könnte, um grundlegende Dienste zu stören.
Die Durchsetzungswarnung soll die Schwere der Cyberbedrohungen hervorheben und die Versorgungsunternehmen darüber informieren, dass die EPA ihre Inspektionen fortsetzen und zivil- oder strafrechtliche Sanktionen verhängen wird, wenn sie schwerwiegende Probleme feststellen.
„Wir wollen sicherstellen, dass wir den Leuten sagen: ‚Hey, wir haben hier eine Menge Probleme‘“, sagte McCabe.
Die Verhinderung von Angriffen auf Wasserversorger ist Teil der umfassenderen Bemühungen der Biden-Regierung, Bedrohungen kritischer Infrastrukturen zu bekämpfen. Im Februar unterzeichnete Präsident Joe Biden eine Durchführungsverordnung zum Schutz der US-Häfen. Gesundheitssysteme wurden angegriffen. Das Weiße Haus hat auch die Energieversorger dazu gedrängt, ihre Abwehrmaßnahmen zu verstärken. EPA-Administrator Michael Regan und der Nationale Sicherheitsberater des Weißen Hauses, Jake Sullivan, haben die Staaten gebeten, einen Plan zur Bekämpfung von Cyberangriffen auf Trinkwassersysteme auszuarbeiten.
„Trinkwasser- und Abwassersysteme sind ein attraktives Ziel für Cyberangriffe, da sie ein lebenswichtiger Infrastruktursektor sind, aber oft nicht über die Ressourcen und technischen Kapazitäten verfügen, um strenge Cybersicherheitspraktiken einzuführen“, schrieben Regan und Sullivan in einem Brief vom 18. März an alle 50 US-Gouverneure .
Einige der Korrekturen seien unkompliziert, sagte McCabe. Wasserversorger sollten beispielsweise keine Standardpasswörter verwenden. Sie müssen einen Risikobewertungsplan entwickeln, der sich mit der Cybersicherheit befasst, und Backup-Systeme einrichten. Die EPA sagt, dass sie Wasserversorger, die Hilfe benötigen, kostenlos schulen werden. Größere Versorgungsunternehmen verfügen in der Regel über mehr Ressourcen und das Fachwissen, um sich gegen Angriffe zu verteidigen.
„In einer idealen Welt … möchten wir, dass jeder über ein grundlegendes Maß an Cybersicherheit verfügt und bestätigen kann, dass er darüber verfügt“, sagte Alan Roberson, Geschäftsführer der Association of State Drinking Water Administrators. „Aber das ist noch weit weg.“
Einige Hindernisse sind grundlegend. Der Wassersektor ist stark fragmentiert. Es gibt rund 50.000 kommunale Wasserversorger, von denen die meisten Kleinstädte versorgen. Bescheidener Personalbestand und dürftige Budgets machen es vielerorts schwer genug, das Wesentliche aufrechtzuerhalten – sauberes Wasser bereitzustellen und mit den neuesten Vorschriften Schritt zu halten.
„Sicherlich ist Cybersicherheit ein Teil davon, aber das war nie ihre Hauptkompetenz. Jetzt bitten Sie einen Wasserversorger, diese ganz neue Art von Abteilung zu entwickeln“, um Cyberbedrohungen zu bewältigen, sagte Amy Hardberger, Wasserexpertin bei Texas Tech Universität.
Die EPA musste Rückschläge hinnehmen. Die Staaten überprüfen regelmäßig die Leistung der Wasserversorger. Im März 2023 wies die EPA die Staaten an, diesen Überprüfungen Cybersicherheitsbewertungen hinzuzufügen. Wenn sie Probleme feststellten, sollte der Staat Verbesserungen erzwingen.
Doch Missouri, Arkansas und Iowa fochten die Anweisungen vor Gericht an, unterstützt von der American Water Works Association und einer weiteren Gruppe der Wasserwirtschaft, mit der Begründung, dass die EPA nach dem Safe Drinking Water Act nicht die erforderliche Autorität habe. Nach einem Rückschlag vor Gericht zog die EPA ihre Auflagen zurück, forderte die Bundesstaaten jedoch auf, trotzdem freiwillige Maßnahmen zu ergreifen.
Das Gesetz über sicheres Trinkwasser verlangt von bestimmten Wasserversorgern, Pläne für bestimmte Bedrohungen zu entwickeln und zu bestätigen, dass sie dies getan haben. Aber seine Macht ist begrenzt.
„Es gibt einfach keine Autorität für (Cybersicherheit) im Gesetz“, sagte Roberson.
Kevin Morley, Manager für Bundesbeziehungen bei der American Water Works Association, sagte, dass einige Wasserversorger über Komponenten verfügen, die mit dem Internet verbunden sind – eine häufige, aber erhebliche Schwachstelle. Die Überholung dieser Systeme kann eine umfangreiche und kostspielige Aufgabe sein. Und ohne erhebliche Bundesmittel haben Wassersysteme Schwierigkeiten, Ressourcen zu finden.
Die Industriegruppe hat Leitlinien für Versorgungsunternehmen veröffentlicht und plädiert für die Gründung einer neuen Organisation von Cybersicherheits- und Wasserexperten, die in Zusammenarbeit mit der EPA neue Richtlinien entwickeln und diese durchsetzen soll.
„Lasst uns alle auf vernünftige Weise mitnehmen“, sagte Morley und fügte hinzu, dass kleine und große Versorgungsunternehmen unterschiedliche Bedürfnisse und Ressourcen haben.