دادهها و آمارهای موجود اداره محیطزیست آمریکا نشان میدهد که بخش آب این کشور پیشرفت زیادی در زمینه بهبود دفاع سایبری داشته است. وبسایت مسنجر گزارشی در این رابطه منتشر کرده است.
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
آمارها نشان میدهد که شرکتهای کوچک در حوزه آب این کشور همچنان از شرکتهای بزرگ در زمینه دفاع دیجیتال عقبتر هستند. مشکلات مالی باعث شده است که شرکتهای انرژی از خرید فناوریهای حفاظتی اجتناب کنند. آمریکا همچنین با کمبود کارشناسان امنیت سایبری روبرو است و این مسئله باعث شده که توانایی شرکتها برای بالا بردن آمادگیهایشان محدود شود.
در ماههای اخیر نهادهای آمریکایی شرکتهای فعال در حوزه آب را به بررسی دفاع سایبری خود و تقویت نقاط ضعف موظف کرده است. در حال حاضر اجرای این دستورالعمل متوقف شده است و دادگاهی در آمریکا در حال بررسی کردن قانونی بودن آن است. شرکتهای خصوصی کوچک معتقدند دولت فدرال حق دخالت در این حوزه را ندارد. با این حال دولت بایدن تلاش زیادی برای تقویت نظارت خود در این حوزه انجام داده است و با توجه به نگرانیاش مبنی بر در معرض خطر بودن حوزه آب، به دنبال تقویت امنیت سایبری است.
مارتی ادواردز، معاون مدیر ارشد فناوریِ یک شرکت امنیت سایبری که با بسیاری از ارائه دهندگان زیرساختهای حیاتی کار میکند میگوید: «آب یکی از بخشهای چالشبرانگیز بوده است، فقط به این دلیل که تعداد زیادی از این شرکتهای تامین کننده انرژی وجود دارد، بسیاری از آنها سازمانهای کوچکتر یا متوسطی هستند که ظرفیتِ لازم، چه از نظر منابع انسانی و چه از نظر بودجه، برای انجام دادن این پروژهها ندارند.»
دادههای گزارشنشده قبلی، با نگاهی اجمالی به پیشرفتهایی که در سرتاسر بخش آب رخ میدهد، نشان داده است که مدتها آسیبپذیریهای امنیت سایبری در این بخش نادیده گرفته شده است.
این دادهها نشان دهنده یک پیشرفت مهم است. یکی از مقامات سازمان حفاظت محیط زیست، که برای بحث در مورد مسائل امنیتی اصرار داشت نامش فاش نشود، گفت: «به طور کلی، ما خوشحالیم. ما شاهد پیشرفتهای مهم و قابل توجهی در بسیاری از زمینههای بسیار ضروری در امنیت سایبری بودیم.».
اما دادهها در عین حال نشان میدهند که برای بسیاری از شرکتها تا چه حد دشوار است تا از هکرهایی که به دنبال دخالت در یکی از حیاتیترین منابع آمریکاییها هستند، جلوگیری کنند.
برایان هارل، دستیار سابق مدیر امنیت زیرساخت در آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی، گفت: «شرکتهای تأمین کننده آب در تلاش هستند تا اصول اولیه را انجام دهند و اتخاذِ اقدامات کاهش خطر سایبری زمان زیادی میبرد.»
در همین حال سازمان حفاظت محیط زیست برای متقاعد کردن شرکتهای آب برای انجام معاینات سایبری بازرسیهای خود را به یک پیمانکار منتقل کرده است و دیگر خود نتایج را جمع آوری نخواهد کرد.
دادهها «برخی پیشرفتهای مثبت» را نشان میدهند
دادههای اداره حفاظت محیط زیست برگرفته از ارزیابیهایی هستند که بین بهار ۲۰۲۰ و بهار ۲۰۲۳ انجام شدهاند و برنامه زمانی پایان مییابد که آژانس الزامات بازرسی جدید خود را صادر کند. این دادهها بر اساس نظرسنجیهای اولیه از ۲۴۹ شرکت خدماتی است که داوطلبانه مورد بازبینی قرار گرفته اند و بررسیهای بعدی شش و دوازده ماهه است که فقط برخی از این شرکتها آن را تکمیل کرده اند. از ۲۴۹ شرکت کننده اولیه، ۷۰ درصد به کمتر از ۲۰۰۰۰ مشتری و تقریباً نیمی به کمتر از ۵۰۰۰ مشتری خدمات ارائه میدهند.
بیش از ۱۵۰۰۰۰ سیستم آب عمومی در ایالات متحده وجود دارد، بنابراین دادهها تنها بخش کوچکی از این بخش را پوشش میدهند. بعلاوه، دادهها با روش خودگزارشی از طریق مصاحبه با پرسنل خدمات، جمع آوری شده و تأیید نشده است. اما با وجود محدودیتهایش، این سند اولین نگاه عمومی به دادههای دولت در مورد وضعیت امنیت سایبری بخش آب است.
جای تعجب نیست که برخی از سادهترین اقدامات امنیت سایبری از جمله اقداماتی بود که در طول پروژه اجرا شد. این اقدامات شامل تهیه فهرستی از بهترین شیوههای اولیه سایبری (۶۲ از ۲۴۹ شرکت آب این کار را در مقطعی از پروژه انجام دادند)، تعیین یک پرسنل برای دریافت هشدارهای سایبری دولتی (۵۸ شرکت آب و برق)، و آزمایش منظم پشتیبان دادهها (۵۷ شرکت آب و برق) هستند.
تست پشتیبان گامی مهم است که نشان دهنده تغییر به سمت اقداماتِ فعالانهتر است
سایر مراحلی که معمولاً پیادهسازی میشوند شامل انجام ارزیابیهای آسیبپذیری فناوری حیاتی و بهروزرسانی موجودیهای فناوری با دادههای کلیدی مانند نسخههای نرمافزار است که هر دو به شرکتها کمک میکنند تا احتمال نفوذ را به حداقل برسانند و از خطرات بالقوه آگاهی داشته باشند.
به نظر میرسد ارزیابیهای اولیه از شرکتهای آب شرکتکننده - همانطور که دادهها نشان میدهند - به برخی از آنها هشدار داده است که شکافهای مهمی در امنیت سایبری خود دارند که به راحتی برطرف شدهاند. بین ارزیابی اولیه و اولین پیگیری، ۴۰ شرکت از ۱۶۶ شرکتی که پیگیری را تکمیل کردند، مقرر کردند در صورتی که متخصص اصلی آنها در دسترس نباشد، یک فرد به عنوان نقطه پشتیبان امنیت سایبری را اختصاص دهند و همین تعداد، برنامههای اضطراری خود را با اطلاعات تماس با دستگاههای اجراییِ فدرال مانند اف بی آی بهروزرسانی کردند.
اجرای گامهای اساسی در برخی از شرکتهای تأمین کننده انرژی بیشتر طول کشید. بین اولین و دومین پیگیری، ۱۹ مورد از ۱۱۸ شرکتی که هر سه بررسی را تکمیل کردند، قابلیتهای فناوری خود را به روز کردند، و ۱۶ شرکت نرم افزاری فرآیندهای امنیتی منظم را توسعه دادند.
برخی از مهمترین اقدامات امنیت سایبری در طول پروژه به تعداد کم اجرا شدند، اما این تعداد کم دلیل دلگرمکنندهای داشت: اکثر شرکتها قبلاً آنها را انجام میدادند. به عنوان مثال، از ۲۴۹ شرکت خدمات مورد بررسی در ابتدای پروژه، ۱۸۵ شرکت گفتند که دسترسی کارمندان به منابع شبکه را بر اساس وظایف شغلی آن کارمندان محدود میکنند و ۱۷۵ شرکت انرژی گفتند که تمام دستگاههای تحت شبکه آنها دارای نرمافزار ضد ویروس هستند.
این مقام سازمان حفاظت محیط زیست با اشاره به لیست بهترین شیوه ها، برنامههای آموزشی و تست پشتیبان گفت: ما فکر میکنیم که شاهد پیشرفتهای خوبی در زمینههای مهم بودیم.
روشهای کم زمان از کمترین مواردی بودند که در ابتدای پروژه اجرا شدند: به عنوان مثال، تنها ۱۸ شرکت آب انجام تمرینهایی را برای آمادهسازی برای حوادث سایبری گزارش کردند و فقط ۴۴ شرکت گفتند که بازنگریهای پس از حادثه را انجام دادهاند.
هنگامی که اداره حفاظت از محیط زیست پروژه خود را راه اندازی کرد، تنها ۲۱ شرکت خدماتی به اینم دستگاه اجرایی گفتند که در ارزیابی عملکرد خود، اجرای مسئولیتهای امنیت سایبری کارکنان را در نظر میگیرند. این کمترین اقدامی بود که در ابتدای پروژه اجرا شد و یکی از ضعیفترین پیشرفتها را در طول پروژه داشت و تنها ۲۳ شرکت آب شروع به انجام آن کردند.
چرا سیستمهای آب با مشکل مواجه میشوند؟
شرکتهای آب با چندین چالش عمده روبرو هستند که از بهبود امنیت سایبری جلوگیری میکند یا آن را به تأخیر میاندازد. این امر از مدتها پیش در سایر بخشهای زیرساختهای حیاتی مانند خدمات مالی و انرژی به یک موضوع عادی تبدیل شده است.
پول یکی از بزرگترین مشکلات است. سیستمهای آب عمومی از منبع مالیات محلی بودجه دریافت میکنند، که از نظر سیاسی درخواست افزایش بودجه بالاتر را دشوار میکند. بیشتر سیستمهای آب عمومی به جوامع کوچک و اغلب روستایی خدمات میدهند که حتی اگر بخواهند نمیتوانند از عهده تأمین مالی پیشرفتهای عمده امنیت سایبری برآیند. در واقع، ۹۳ درصد از سیستمها به کمتر از ۱۰۰۰۰ نفر خدمات رسانی میکنند و ۵۹ درصد به کمتر از ۵۰۰ نفر خدمات ارائه میدهند.
مسائل مربوط به تامین مالی مانع از نصب برخی از پیچیدهترین سیستمهای حفاظتی مانند سیستمهای تشخیص نفوذ توسط شرکتها میشود که تنها ۸۴ شرکت اعلام کردند که قبل از پروژه از آن استفاده کردهاند و تنها ۳۰ مورد در طول پروژه اضافه شدهاند.
همچنین تقریباً کارشناسان امنیت سایبری کافی در شرکتهای آب برای اجرای بهبودهای لازم وجود ندارد، هم به این دلیل که شرکتها توانایی پرداخت هزینههای آنها را ندارند و هم به دلیل کمبود نیروی کار سایبری ملی. مدیر یکی از سیستمهای آب روستایی که خواست نامش فاش نشود، گفت: «در صحبتهایی که با همکارانم دارم، این یکی از آن چیزهایی است که قطعاً در ذهن من است.»
بدون بودجه برای استخدام کارکنان اختصاصی امنیت سایبری یا فناوری اطلاعات، شرکتهای آب نمیتوانند تمرینها یا سایر آمادهسازیهای وقتگیر را انجام دهند که بعداً در زمان و هزینه آنها صرفهجویی کند. این شرکتها افرادی را در دسترس ندارند که این نوع فرآیندها را در محل قرار دهند. کارکنان اختصاصی نیز برای حفاظت در طول زمان مهم هستند. یک برنامه کاربردی نمیتواند فقط یک فایروال نصب کند و آن را فراموش کند. با ظهور تهدیدهای جدید، شخصی باید به پیکربندی مجدد آن ادامه دهد.
محدودیتهای مالی و پرسنلی شرکتها را مجبور میکند پروژههای خود را اولویت بندی کنند و امنیت سایبری به ندرت بر مواردِ دیگری مانند مثلاً پر کردن مواد شیمیایی تصفیه آب یا بازسازی لولههای توزیع اولویت پیدا میکند.
آژانس، تحت نظارت
دادهها، در حالی که پیشرفت را در بخش کوچکی از بخش آب نشان میدهد، حاوی درسهای مهمی در مورد پیشرفتهای امنیت سایبری این بخش است. اما دولت جمع آوری این اطلاعات حیاتی را متوقف کرده است.
پس از اینکه اداره حفاظت محیط زیست الزامات بازرسی سایبری خود را در ۳ مارس برای سیستمهای آب صادر کرد، یک برنامه ارزیابی جدید ایجاد کرد و یک پیمانکار را برای انجام ارزیابیهای آینده استخدام کرد. دیوید تراورز، مدیر بخش زیرساختهای آبی و تابآوری سایبری در نامهای به مسنجر گفت که گزارشهای پیمانکار این دستگاه اجرایی فقط به سیستم آب داده میشود و این اداره هیچ نتیجه ارزیابی را جمعآوری نمیکند.
بدون اطلاعات دقیق در مورد وضعیت امنیت سایبری شرکتهای آب، مشخص نیست که آیا اداره حفاظت محیط یست میتواند به طور موثر بر این بخش نظارت کند یا خیر. همچنین جمع آوری و ارسال داوطلبانه این دادهها توسط آژانس احتمالاً به نگرانیهایی دامن میزند که نسبت به مقیاس مسئولیتهایش بیشتر است.
مارک مونتگومری، مدیر اجرایی فضای سایبری منشور کنگره، میگوید: «این کاهش در نظارت مستقیم توسط اداره حفاظت محیط زیست ناامید کننده است، اما تعجب آور نیست. تلاشهای امنیت سایبری آب به درستی توسط کنگره یا قوه مجریه سازماندهی نشده است و این مشکلی است که چندین دهه وجود داشته است.»
یکی از مقامات سازمان حفاظت محیط زیست گفت که این اداره تصمیم گرفت به دلیل حساسیت دادهها گزارشهای ارزیابی را جمعآوری نکند و شرکتهایی را که نگران بررسی دقیق تنظیمکننده عملکردشان هستند، تشویق کند. این مقام توضیح نداد که چرا آنها معتقد بودند که شرکتهای خدمات شهری و دولتهای ایالتی بهتر از دولت فدرال میتوانند از اطلاعات حساس محافظت کنند، زیرا علیرغم نقضهای گاه به گاه، با موفقیت از مقادیر زیادی اطلاعات بسیار طبقهبندی شده محافظت میکند. به گفته این مقام، سازمان حفاظت محیط زیست هنوز هم میتواند دادههای خلاصه را از پیمانکار خود دریافت کند، تاکنون تقریباً ۹۰ ارزیابی انجام داده است تا به شرکتها کمک کند تا قوانین بازرسی جدید خود را رعایت کنند. این مقام گفت که این دادهها تصویری از جایی که شرکتهای آب در حال حاضر در آنها با مشکل مواجه هستند به ما میدهد. ما هنوز این کار را انجام ندادهایم، فقط به این دلیل که برنامه هنوز در مرحله نسبتاً اولیه است، اما از آنجایی که دادههای بیشتری تولید میکنیم، ممکن است این کاری باشد که ما انتخاب کنیم.
یک عامل حتی نگرانکنندهتر نیز وجود دارد: دادههای بهدستآمده توسط مسنجر ممکن است میزان واقعی آسیبپذیریها در بخش آب را پنهان کند. به گفته این مقام سیستمهایی که ما بیشتر نگران آن هستیم، سیستمهای فعالی نیستند که برای برنامههایی مانند این ثبت نام میکنند. به عبارت دیگر، این واقعیت که این سیستمها برای ارزیابی داوطلب شدهاند ممکن است به این موضوع اشاره کند که آنها بیش از میانگین آب مصرفی با امنیت سایبری درگیر هستند.
در هر صورت، اگر دادههای موجود چیزی را نشان دهد، این است که بخش آب راه درازی در پیش دارد تا کاملاً برای دفع حملات سایبری پیچیده آماده شود. مدیر خدمات روستایی گفت: منظورم این است که اگر اتفاقی بیفتد، میتواند مهم باشد. مهم است که همه ما این تهدید را جدی بگیریم.