Над 300 системи за питейна вода, които обслужват около 110 милиона души в САЩ, са засегнати от уязвимости, които биха могли да доведат до прекъсване на обслужването, показва нов доклад на Службата на генералния инспектор на Агенцията за опазване на околната среда (EPA).

Пасивната оценка на дефектите в сигурността на 1062 системи за питейна вода, които обслужват над 193 млн. души, разкри, че една четвърт от тях потенциално могат да станат жертва на атаки, водещи до загуба на функционалност, условия на отказ на услуга (DoS) и компрометиране на информация за клиентите.

Оценката обхвана пет категории киберсигурност, а именно сигурност на електронната поща, ИТ хигиена, уязвимости, враждебна заплаха и злонамерена дейност, и оцени установените слабости с оценки от критична до ниска, въз основа на потенциалното им въздействие.

Към октомври 2024 г. 97 от оценените водни системи, които обслужват приблизително 27 милиона души, са съдържали проблеми с критична и висока степен на опасност, показва докладът на OIG (PDF).

Установено е, че още 211 системи за питейна вода, които обхващат приблизително 83 млн. души, са засегнати от слабости със средна и ниска степен на сериозност, тъй като имат видими отвън отворени портали.

„Ако злонамерени лица използват уязвимостите в киберсигурността, които установихме в нашата пасивна оценка, те биха могли да нарушат обслужването или да причинят непоправими физически щети на инфраструктурата за питейна вода“, казва OIG.

Оценката включваше картографиране на цифровия отпечатък за всяка от разследваните системи, като обхващаше инфраструктурата, използвана за събиране, изпомпване, пречистване, съхранение и разпределение на питейната вода, и включваше анализ на повече от 75 000 IP адреси и 14 400 домейна.

В доклада на OIG се посочва също, че в самата EPA липсва „система за докладване на инциденти в областта на киберсигурността, която системите за водоснабдяване и канализация биха могли да използват, за да уведомяват EPA за инциденти в областта на киберсигурността“, и че агенцията разчита на CISA за този вид докладване.

„Освен това не успяхме да открием документирани политики и процедури, свързани с координацията на EPA с Агенцията за киберсигурност и инфраструктурна сигурност и други федерални и щатски органи, участващи в специфичните за сектора реакции при извънредни ситуации, планове за сигурност, показатели и стратегии за смекчаване на последиците“, отбелязва OIG.

Докладът се появява приблизително един месец след като базираната в Ню Джърси компания American Water, която обслужва повече от 14 милиона души в 14 щата и в 18 военни обекта, стана жертва на кибератака, която я принуди да спре някои системи. Водните услуги не бяха засегнати.

През май ЕАОС предупреди, че над 70 % от водоснабдителните системи не отговарят на изискванията на Закона за безопасна питейна вода, като подчерта проблеми от критична важност, като например използването на пароли по подразбиране и лесно пробиваеми системи за удостоверяване.