زیرساختهای حیاتی بار دیگر به کانون توجه بازگشتهاند؛ مشخص شده است که چندین شرکت تأمین آب در بریتانیا طی دو سال گذشته وقوع حوادثی در حوزه امنیت سایبری را گزارش کردهاند.
انتشار این خبر که مهاجمان در حال بررسی و نفوذ به سامانههایی هستند که برای مدیریت تأمین آب آشامیدنی سالم میلیونها خانوار استفاده میشود، نتیجه اطلاعات تازهای است که از سوی نهاد بازرسی آب آشامیدنی بریتانیا (Drinking Water Inspectorate – DWI) و در پی یک درخواست اطلاعاتی از نشریه The Record منتشر شده است.
بر اساس این دادهها، بین ژانویه ۲۰۲۳ تا اواخر اکتبر ۲۰۲۴، DWI – که مسئول نظارت بر ایمنی و کیفیت آب آشامیدنی در انگلستان و ولز است – در مجموع ۱۵ گزارش از وقوع حوادث در سامانههای دیجیتال شرکتهای آب دریافت کرده که پنج مورد از آنها بهطور مشخص مربوط به رویدادهای امنیت سایبری بوده است.
طبق مقررات NIS، که با هدف ارتقای امنیت خدمات حیاتی از جمله تأمین آب تدوین شدهاند، این پنج حادثه مربوط به «سامانههایی خارج از محدوده NIS» توصیف شدهاند.
به این ترتیب، مشخص است که هیچیک از این حملات تأثیری مستقیم بر فرآیند تأمین یا تصفیه آب آشامیدنی عمومی نداشتهاند، بلکه بر بخشهای دیگر فعالیت شرکتها – مانند امور اداری یا پشتیبانی – اثر گذاشتهاند.
با این حال، همین موضوع نشان میدهد که خطر میتوانست بهمراتب جدیتر باشد.
شرکتهای آب در عمل در دو محیط فناوری مجزا اما بهطور فزایندهای متصل فعالیت میکنند: سامانههای فناوری اطلاعات (IT) که برای امور اداری، مالی، زمانبندی و ارتباطات مورد استفاده قرار میگیرند، و سامانههای فناوری عملیاتی (OT) که مسئول کنترل و مدیریت جریان و تصفیه آب هستند.
نگرانی اصلی این است که مهاجمان ممکن است در ابتدا با نفوذ به شبکههای اداری و تجاری، مسیرهایی بهسوی سامانههای کنترل فرآیندهای فیزیکی پیدا کنند.
در ماه مه ۲۰۲۴، سازمان حفاظت محیطزیست آمریکا (EPA) هشدار داد که بیش از ۷۰ درصد از سامانههای آبی مورد بازرسی، حداقل الزامات پایه امنیت سایبری را رعایت نمیکنند – از جمله کنترلهای مرتبط با مدیریت حسابهای کاربری و دسترسی شبکه.
چند ماه بعد، در اوت ۲۰۲۴، دفتر حسابرسی دولت آمریکا (GAO) نیز در گزارشی بر شکافهای دیرینه امنیت سایبری در بخش آب تأکید کرد.
در اکتبر ۲۰۲۴، شرکت American Water Works – بزرگترین شرکت خدمات آب سهامی عام در ایالات متحده – تأیید کرد که مهاجمان موفق شدهاند دسترسی غیرمجاز به شبکه فناوری اطلاعات این شرکت بهدست آورند.
گرچه سامانههای مرتبط با تصفیه و توزیع آب این شرکت از این حادثه مصون ماندند، اما شرکت ناچار شد خدمات مشتریان را موقتاً غیرفعال کرده و فرآیندهای واکنش به حادثه را اجرا کند.
این رویدادها در حالی رخ دادهاند که آژانس امنیت سایبری و زیرساخت آمریکا (CISA) هشدار داده بود گروههای هکری همسو با روسیه بهطور فزایندهای سامانههای کنترل صنعتی در شرکتهای آب را هدف قرار میدهند و از نقاط دسترسی از راه دور ناامن و پسوردهای پیشفرض بهرهبرداری میکنند.
اگرچه رسانهها معمولاً بر سناریوهای حمله به فرآیندهای تصفیه یا تأمین آب تمرکز میکنند، اما در واقعیت، تهدیدات فوریتر همان خطرات شناختهشدهای مانند باجافزارها هستند.
با این حال، شرکتهای آب باید درک کنند که حفاظت موردنیاز آنها تنها محدود به سامانههای صنعتی نیست، بلکه شامل تقویت کل وضعیت امنیت سایبری سازمانهای بهرهبردار نیز میشود.
بر اساس توصیههای مرکز ملی امنیت سایبری بریتانیا (NCSC) در چارچوب چارچوب ارزیابی سایبری (Cyber Assessment Framework)، ضروری است که شرکتهای خدمات حیاتی از تفکیک قوی شبکهها، نظارت مستمر بر فعالیتهای غیرعادی میان سامانههای داخلی، و کنترل دقیق دسترسیهای از راه دور اطمینان حاصل کنند.
زمان مناسب برای ایجاد سامانههای مقاوم، پس از وقوع اختلالات عملیاتی نیست؛ چراکه مهاجمان همین حالا نیز در حال بررسی و آزمودن محیط پیرامونی این شرکتها هستند. شبکههای تجاری – که غالباً در بحث امنیت زیرساختهای حیاتی نادیده گرفته میشوند – بهسرعت در حال تبدیل شدن به نقطه ورود اصلی برای حملات هستند.
