تلاش آمریکا برای حفاظت از زیرساخت‌های آب در برابر حملات سایبری

تلاش آمریکا برای حفاظت از زیرساخت‌های آب در برابر حملات سایبری
تاریخ انتشار : ۰۷ شهريور ۱۴۰۲

داده‌ها و آمار‌های موجود اداره محیط‌زیست آمریکا نشان می‌دهد که بخش آب این کشور پیشرفت زیادی در زمینه بهبود دفاع سایبری داشته است. وب‌سایت مسنجر گزارشی در این رابطه منتشر کرده است.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


آمار‌ها نشان می‌دهد که شرکت‌های کوچک در حوزه آب این کشور همچنان از شرکت‌های بزرگ در زمینه دفاع دیجیتال عقب‌تر هستند. مشکلات مالی باعث شده است که شرکت‌های انرژی از خرید فناوری‌های حفاظتی اجتناب کنند. آمریکا همچنین با کمبود کارشناسان امنیت سایبری روبرو است و این مسئله باعث شده که توانایی شرکت‌ها برای بالا بردن آمادگی‌هایشان محدود شود.

در ماه‌های اخیر نهاد‌های آمریکایی شرکت‌های فعال در حوزه آب را به بررسی دفاع سایبری خود و تقویت نقاط ضعف موظف کرده است. در حال حاضر اجرای این دستورالعمل متوقف شده است و دادگاهی در آمریکا در حال بررسی کردن قانونی بودن آن است. شرکت‌های خصوصی کوچک معتقدند دولت فدرال حق دخالت در این حوزه را ندارد. با این حال دولت بایدن تلاش زیادی برای تقویت نظارت خود در این حوزه انجام داده است و با توجه به نگرانی‌اش مبنی بر در معرض خطر بودن حوزه آب، به دنبال تقویت امنیت سایبری است.

مارتی ادواردز، معاون مدیر ارشد فناوریِ یک شرکت امنیت سایبری که با بسیاری از ارائه دهندگان زیرساخت‌های حیاتی کار می‌کند می‌گوید: «آب یکی از بخش‌های چالش‌برانگیز بوده است، فقط به این دلیل که تعداد زیادی از این شرکت‌های تامین کننده انرژی وجود دارد، بسیاری از آن‌ها سازمان‌های کوچکتر یا متوسطی هستند که ظرفیتِ لازم، چه از نظر منابع انسانی و چه از نظر بودجه، برای انجام دادن این پروژه‌ها ندارند.»

داده‌های گزارش‌نشده قبلی، با نگاهی اجمالی به پیشرفت‌هایی که در سرتاسر بخش آب رخ می‌دهد، نشان داده است که مدت‌ها آسیب‌پذیری‌های امنیت سایبری در این بخش نادیده گرفته شده است.

این داده‌ها نشان دهنده یک پیشرفت مهم است. یکی از مقامات سازمان حفاظت محیط زیست، که برای بحث در مورد مسائل امنیتی اصرار داشت نامش فاش نشود، گفت: «به طور کلی، ما خوشحالیم. ما شاهد پیشرفت‌های مهم و قابل توجهی در بسیاری از زمینه‌های بسیار ضروری در امنیت سایبری بودیم.».

اما داده‌ها در عین حال نشان می‌دهند که برای بسیاری از شرکت‌ها تا چه حد دشوار است تا از هکر‌هایی که به دنبال دخالت در یکی از حیاتی‌ترین منابع آمریکایی‌ها هستند، جلوگیری کنند.

برایان هارل، دستیار سابق مدیر امنیت زیرساخت در آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی، گفت: «شرکت‌های تأمین کننده آب در تلاش هستند تا اصول اولیه را انجام دهند و اتخاذِ اقدامات کاهش خطر سایبری زمان زیادی می‌برد.»

در همین حال سازمان حفاظت محیط زیست برای متقاعد کردن شرکت‌های آب برای انجام معاینات سایبری بازرسی‌های خود را به یک پیمانکار منتقل کرده است و دیگر خود نتایج را جمع آوری نخواهد کرد.

داده‌ها «برخی پیشرفت‌های مثبت» را نشان می‌دهند

داده‌های اداره حفاظت محیط زیست برگرفته از ارزیابی‌هایی هستند که بین بهار ۲۰۲۰ و بهار ۲۰۲۳ انجام شده‌اند و برنامه زمانی پایان می‌یابد که آژانس الزامات بازرسی جدید خود را صادر کند. این داده‌ها بر اساس نظرسنجی‌های اولیه از ۲۴۹ شرکت خدماتی است که داوطلبانه مورد بازبینی قرار گرفته اند و بررسی‌های بعدی شش و دوازده ماهه است که فقط برخی از این شرکت‌ها آن را تکمیل کرده اند. از ۲۴۹ شرکت کننده اولیه، ۷۰ درصد به کمتر از ۲۰۰۰۰ مشتری و تقریباً نیمی به کمتر از ۵۰۰۰ مشتری خدمات ارائه می‌دهند.

بیش از ۱۵۰۰۰۰ سیستم آب عمومی در ایالات متحده وجود دارد، بنابراین داده‌ها تنها بخش کوچکی از این بخش را پوشش می‌دهند. بعلاوه، داده‌ها با روش خودگزارشی از طریق مصاحبه با پرسنل خدمات، جمع آوری شده و تأیید نشده است. اما با وجود محدودیت‌هایش، این سند اولین نگاه عمومی به داده‌های دولت در مورد وضعیت امنیت سایبری بخش آب است.

جای تعجب نیست که برخی از ساده‌ترین اقدامات امنیت سایبری از جمله اقداماتی بود که در طول پروژه اجرا شد. این اقدامات شامل تهیه فهرستی از بهترین شیوه‌های اولیه سایبری (۶۲ از ۲۴۹ شرکت آب این کار را در مقطعی از پروژه انجام دادند)، تعیین یک پرسنل برای دریافت هشدار‌های سایبری دولتی (۵۸ شرکت آب و برق)، و آزمایش منظم پشتیبان داده‌ها (۵۷ شرکت آب و برق) هستند.

تست پشتیبان گامی مهم است که نشان دهنده تغییر به سمت اقداماتِ فعالانه‌تر است

سایر مراحلی که معمولاً پیاده‌سازی می‌شوند شامل انجام ارزیابی‌های آسیب‌پذیری فناوری حیاتی و به‌روزرسانی موجودی‌های فناوری با داده‌های کلیدی مانند نسخه‌های نرم‌افزار است که هر دو به شرکت‌ها کمک می‌کنند تا احتمال نفوذ را به حداقل برسانند و از خطرات بالقوه آگاهی داشته باشند.

به نظر می‌رسد ارزیابی‌های اولیه از شرکت‌های آب شرکت‌کننده - همانطور که داده‌ها نشان می‌دهند - به برخی از آن‌ها هشدار داده است که شکاف‌های مهمی در امنیت سایبری خود دارند که به راحتی برطرف شده‌اند. بین ارزیابی اولیه و اولین پیگیری، ۴۰ شرکت از ۱۶۶ شرکتی که پیگیری را تکمیل کردند، مقرر کردند در صورتی که متخصص اصلی آن‌ها در دسترس نباشد، یک فرد به عنوان نقطه پشتیبان امنیت سایبری را اختصاص دهند و همین تعداد، برنامه‌های اضطراری خود را با اطلاعات تماس با دستگاه‌های اجراییِ فدرال مانند اف بی آی به‌روزرسانی کردند.

اجرای گام‌های اساسی در برخی از شرکت‌های تأمین کننده انرژی بیشتر طول کشید. بین اولین و دومین پیگیری، ۱۹ مورد از ۱۱۸ شرکتی که هر سه بررسی را تکمیل کردند، قابلیت‌های فناوری خود را به روز کردند، و ۱۶ شرکت نرم افزاری فرآیند‌های امنیتی منظم را توسعه دادند.

برخی از مهم‌ترین اقدامات امنیت سایبری در طول پروژه به تعداد کم اجرا شدند، اما این تعداد کم دلیل دلگرم‌کننده‌ای داشت: اکثر شرکت‌ها قبلاً آن‌ها را انجام می‌دادند. به عنوان مثال، از ۲۴۹ شرکت خدمات مورد بررسی در ابتدای پروژه، ۱۸۵ شرکت گفتند که دسترسی کارمندان به منابع شبکه را بر اساس وظایف شغلی آن کارمندان محدود می‌کنند و ۱۷۵ شرکت انرژی گفتند که تمام دستگاه‌های تحت شبکه آن‌ها دارای نرم‌افزار ضد ویروس هستند.

این مقام سازمان حفاظت محیط زیست با اشاره به لیست بهترین شیوه ها، برنامه‌های آموزشی و تست پشتیبان گفت: ما فکر می‌کنیم که شاهد پیشرفت‌های خوبی در زمینه‌های مهم بودیم.

روش‌های کم زمان از کمترین مواردی بودند که در ابتدای پروژه اجرا شدند: به عنوان مثال، تنها ۱۸ شرکت آب انجام تمرین‌هایی را برای آماده‌سازی برای حوادث سایبری گزارش کردند و فقط ۴۴ شرکت گفتند که بازنگری‌های پس از حادثه را انجام داده‌اند.

هنگامی که اداره حفاظت از محیط زیست پروژه خود را راه اندازی کرد، تنها ۲۱ شرکت خدماتی به اینم دستگاه اجرایی گفتند که در ارزیابی عملکرد خود، اجرای مسئولیت‌های امنیت سایبری کارکنان را در نظر می‌گیرند. این کمترین اقدامی بود که در ابتدای پروژه اجرا شد و یکی از ضعیف‌ترین پیشرفت‌ها را در طول پروژه داشت و تنها ۲۳ شرکت آب شروع به انجام آن کردند.

چرا سیستم‌های آب با مشکل مواجه می‌شوند؟

شرکت‌های آب با چندین چالش عمده روبرو هستند که از بهبود امنیت سایبری جلوگیری می‌کند یا آن را به تأخیر می‌اندازد. این امر از مدت‌ها پیش در سایر بخش‌های زیرساخت‌های حیاتی مانند خدمات مالی و انرژی به یک موضوع عادی تبدیل شده است.

پول یکی از بزرگترین مشکلات است. سیستم‌های آب عمومی از منبع مالیات محلی بودجه دریافت می‌کنند، که از نظر سیاسی درخواست افزایش بودجه بالاتر را دشوار می‌کند. بیشتر سیستم‌های آب عمومی به جوامع کوچک و اغلب روستایی خدمات می‌دهند که حتی اگر بخواهند نمی‌توانند از عهده تأمین مالی پیشرفت‌های عمده امنیت سایبری برآیند. در واقع، ۹۳ درصد از سیستم‌ها به کمتر از ۱۰۰۰۰ نفر خدمات رسانی می‌کنند و ۵۹ درصد به کمتر از ۵۰۰ نفر خدمات ارائه می‌دهند.

مسائل مربوط به تامین مالی مانع از نصب برخی از پیچیده‌ترین سیستم‌های حفاظتی مانند سیستم‌های تشخیص نفوذ توسط شرکت‌ها می‌شود که تنها ۸۴ شرکت اعلام کردند که قبل از پروژه از آن استفاده کرده‌اند و تنها ۳۰ مورد در طول پروژه اضافه شده‌اند.

همچنین تقریباً کارشناسان امنیت سایبری کافی در شرکت‌های آب برای اجرای بهبود‌های لازم وجود ندارد، هم به این دلیل که شرکت‌ها توانایی پرداخت هزینه‌های آن‌ها را ندارند و هم به دلیل کمبود نیروی کار سایبری ملی. مدیر یکی از سیستم‌های آب روستایی که خواست نامش فاش نشود، گفت: «در صحبت‌هایی که با همکارانم دارم، این یکی از آن چیز‌هایی است که قطعاً در ذهن من است.»

بدون بودجه برای استخدام کارکنان اختصاصی امنیت سایبری یا فناوری اطلاعات، شرکت‌های آب نمی‌توانند تمرین‌ها یا سایر آماده‌سازی‌های وقت‌گیر را انجام دهند که بعداً در زمان و هزینه آن‌ها صرفه‌جویی کند. این شرکت‌ها افرادی را در دسترس ندارند که این نوع فرآیند‌ها را در محل قرار دهند. کارکنان اختصاصی نیز برای حفاظت در طول زمان مهم هستند. یک برنامه کاربردی نمی‌تواند فقط یک فایروال نصب کند و آن را فراموش کند. با ظهور تهدید‌های جدید، شخصی باید به پیکربندی مجدد آن ادامه دهد.

محدودیت‌های مالی و پرسنلی شرکت‌ها را مجبور می‌کند پروژه‌های خود را اولویت بندی کنند و امنیت سایبری به ندرت بر مواردِ دیگری مانند مثلاً پر کردن مواد شیمیایی تصفیه آب یا بازسازی لوله‌های توزیع اولویت پیدا می‌کند.

آژانس، تحت نظارت

داده‌ها، در حالی که پیشرفت را در بخش کوچکی از بخش آب نشان می‌دهد، حاوی درس‌های مهمی در مورد پیشرفت‌های امنیت سایبری این بخش است. اما دولت جمع آوری این اطلاعات حیاتی را متوقف کرده است.

پس از اینکه اداره حفاظت محیط زیست الزامات بازرسی سایبری خود را در ۳ مارس برای سیستم‌های آب صادر کرد، یک برنامه ارزیابی جدید ایجاد کرد و یک پیمانکار را برای انجام ارزیابی‌های آینده استخدام کرد. دیوید تراورز، مدیر بخش زیرساخت‌های آبی و تاب‌آوری سایبری در نامه‌ای به مسنجر گفت که گزارش‌های پیمانکار این دستگاه اجرایی فقط به سیستم آب داده می‌شود و این اداره هیچ نتیجه ارزیابی را جمع‌آوری نمی‌کند.

بدون اطلاعات دقیق در مورد وضعیت امنیت سایبری شرکت‌های آب، مشخص نیست که آیا اداره حفاظت محیط یست می‌تواند به طور موثر بر این بخش نظارت کند یا خیر. همچنین جمع آوری و ارسال داوطلبانه این داده‌ها توسط آژانس احتمالاً به نگرانی‌هایی دامن می‌زند که نسبت به مقیاس مسئولیت‌هایش بیشتر است.

مارک مونتگومری، مدیر اجرایی فضای سایبری منشور کنگره، می‌گوید: «این کاهش در نظارت مستقیم توسط اداره حفاظت محیط زیست ناامید کننده است، اما تعجب آور نیست. تلاش‌های امنیت سایبری آب به درستی توسط کنگره یا قوه مجریه سازماندهی نشده است و این مشکلی است که چندین دهه وجود داشته است.»

یکی از مقامات سازمان حفاظت محیط زیست گفت که این اداره تصمیم گرفت به دلیل حساسیت داده‌ها گزارش‌های ارزیابی را جمع‌آوری نکند و شرکت‌هایی را که نگران بررسی دقیق تنظیم‌کننده عملکردشان هستند، تشویق کند. این مقام توضیح نداد که چرا آن‌ها معتقد بودند که شرکت‌های خدمات شهری و دولت‌های ایالتی بهتر از دولت فدرال می‌توانند از اطلاعات حساس محافظت کنند، زیرا علیرغم نقض‌های گاه به گاه، با موفقیت از مقادیر زیادی اطلاعات بسیار طبقه‌بندی شده محافظت می‌کند. به گفته این مقام، سازمان حفاظت محیط زیست هنوز هم می‌تواند داده‌های خلاصه را از پیمانکار خود دریافت کند، تاکنون تقریباً ۹۰ ارزیابی انجام داده است تا به شرکت‌ها کمک کند تا قوانین بازرسی جدید خود را رعایت کنند. این مقام گفت که این داده‌ها تصویری از جایی که شرکت‌های آب در حال حاضر در آن‌ها با مشکل مواجه هستند به ما می‌دهد. ما هنوز این کار را انجام نداده‌ایم، فقط به این دلیل که برنامه هنوز در مرحله نسبتاً اولیه است، اما از آنجایی که داده‌های بیشتری تولید می‌کنیم، ممکن است این کاری باشد که ما انتخاب کنیم.

یک عامل حتی نگران‌کننده‌تر نیز وجود دارد: داده‌های به‌دست‌آمده توسط مسنجر ممکن است میزان واقعی آسیب‌پذیری‌ها در بخش آب را پنهان کند. به گفته این مقام سیستم‌هایی که ما بیشتر نگران آن هستیم، سیستم‌های فعالی نیستند که برای برنامه‌هایی مانند این ثبت نام می‌کنند. به عبارت دیگر، این واقعیت که این سیستم‌ها برای ارزیابی داوطلب شده‌اند ممکن است به این موضوع اشاره کند که آن‌ها بیش از میانگین آب مصرفی با امنیت سایبری درگیر هستند.

در هر صورت، اگر داده‌های موجود چیزی را نشان دهد، این است که بخش آب راه درازی در پیش دارد تا کاملاً برای دفع حملات سایبری پیچیده آماده شود. مدیر خدمات روستایی گفت: منظورم این است که اگر اتفاقی بیفتد، می‌تواند مهم باشد. مهم است که همه ما این تهدید را جدی بگیریم.