Над 300 системи за питейна вода, които обслужват около 110 милиона души в САЩ, са засегнати от уязвимости, които биха могли да доведат до прекъсване на обслужването, показва нов доклад на Службата на генералния инспектор на Агенцията за опазване на околната среда (EPA).
Пасивната оценка на дефектите в сигурността на 1062 системи за питейна вода, които обслужват над 193 млн. души, разкри, че една четвърт от тях потенциално могат да станат жертва на атаки, водещи до загуба на функционалност, условия на отказ на услуга (DoS) и компрометиране на информация за клиентите.
Оценката обхвана пет категории киберсигурност, а именно сигурност на електронната поща, ИТ хигиена, уязвимости, враждебна заплаха и злонамерена дейност, и оцени установените слабости с оценки от критична до ниска, въз основа на потенциалното им въздействие.
Към октомври 2024 г. 97 от оценените водни системи, които обслужват приблизително 27 милиона души, са съдържали проблеми с критична и висока степен на опасност, показва докладът на OIG (PDF).
Установено е, че още 211 системи за питейна вода, които обхващат приблизително 83 млн. души, са засегнати от слабости със средна и ниска степен на сериозност, тъй като имат видими отвън отворени портали.
„Ако злонамерени лица използват уязвимостите в киберсигурността, които установихме в нашата пасивна оценка, те биха могли да нарушат обслужването или да причинят непоправими физически щети на инфраструктурата за питейна вода“, казва OIG.
Оценката включваше картографиране на цифровия отпечатък за всяка от разследваните системи, като обхващаше инфраструктурата, използвана за събиране, изпомпване, пречистване, съхранение и разпределение на питейната вода, и включваше анализ на повече от 75 000 IP адреси и 14 400 домейна.
В доклада на OIG се посочва също, че в самата EPA липсва „система за докладване на инциденти в областта на киберсигурността, която системите за водоснабдяване и канализация биха могли да използват, за да уведомяват EPA за инциденти в областта на киберсигурността“, и че агенцията разчита на CISA за този вид докладване.
„Освен това не успяхме да открием документирани политики и процедури, свързани с координацията на EPA с Агенцията за киберсигурност и инфраструктурна сигурност и други федерални и щатски органи, участващи в специфичните за сектора реакции при извънредни ситуации, планове за сигурност, показатели и стратегии за смекчаване на последиците“, отбелязва OIG.
Докладът се появява приблизително един месец след като базираната в Ню Джърси компания American Water, която обслужва повече от 14 милиона души в 14 щата и в 18 военни обекта, стана жертва на кибератака, която я принуди да спре някои системи. Водните услуги не бяха засегнати.
През май ЕАОС предупреди, че над 70 % от водоснабдителните системи не отговарят на изискванията на Закона за безопасна питейна вода, като подчерта проблеми от критична важност, като например използването на пароли по подразбиране и лесно пробиваеми системи за удостоверяване.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
