Americké ministerstvo životního prostředí v pondělí varovalo, že kybernetické útoky proti vodárenským společnostem na celém území USA jsou stále častější a závažnější. Úřad vyzval provozovatele vodárenských systémů, aby okamžitě přijali opatření na ochranu pitné vody.
To se snadněji řekne, než udělá. Ministerstvo, po americku spíše agentura pro ochranu životního prostředí (EPA), uvedlo, že přibližně 70 procent zkontrolovaných poskytovatelů veřejných služeb stran vody porušilo normy, které mají zabránit narušení jejich provozu.
Úřad proto vyzval i malé vodárenské systémy, aby zlepšily ochranu proti hackerům. Nedávné kybernetické útoky skupin napojených na Rusko a Írán se přitom zaměřily na menší obce.
Podle úřadu některé vodárenské systémy selhávají v základních ohledech. K nejčastějším pochybením patří to, že firma nezmění přednastavené heslo pro přístup k počítačové síti, nebo přístup neznemožní bývalým zaměstnancům.
Vzhledem k tomu, že vodárenské společnosti se při provozu čistíren a distribučních systémů často spoléhají na počítačový software, je ochrana informačních technologií a řízení procesů klíčová, říká EPA. K možným dopadům kybernetických útoků patří narušení procesu úpravy vody, poškození čerpadel a ventilů nebo nezamýšlená změna bezpečné hladiny chemických látek.
„V mnoha případech systémy nedělají to, co by měly. Mimo jiné by měly zajistit, že mají dokončené posouzení rizik svých zranitelných míst včetně kybernetické bezpečnosti. Měly by informovat o způsobu, jakým vykonávají svou činnost,“ uvedla zástupkyně šéfa EPA Janet McCabeová.
Pokusy soukromých skupin nebo jednotlivců dostat se do počítačových sítí poskytovatelů vody a zničit nebo poškodit webové stránky nejsou novinkou. V poslední době však útočníci neútočí pouze na internetové stránky, nýbrž se také zaměřují na provoz poskytovaných služeb.
Nedávné útoky navíc nejsou jen dílem soukromých subjektů. Některé z těchto útoků na vodárenské společnosti jsou spojeny s geopolitickými soupeři Spojených států. EPA neuvádí, kolik kybernetických incidentů se v posledních letech odehrálo. McCabeová však jmenovala Čínu, Rusko a Írán jako země, které „aktivně usilují o schopnost vyřadit z provozu kritickou infrastrukturu USA, včetně vodovodů a kanalizací.“
Utajení státní aktéři
Takových příkladů přibývá. Koncem loňského roku se skupina napojená na Írán s názvem Cyber Av3ngers zaměřila na dodavatele vody ve městečku Aliquippa ve státu Pensylvánie a donutila ho přejít od dálkového ovládání čerpadel k ručnímu provozu. Šla po zařízení izraelské výroby (patrně v souvislosti s válečným konfliktem Izrael-Hamás), které tato společnost používala.
Kybernetická skupina napojená na Čínu, známá jako Volt Typhoon, ohrozila informační technologie několika systémů kritické infrastruktury ve Spojených státech; systém dodávek pitné vody byl jednou z napadených oblastí.
Odborníci na kybernetickou bezpečnost se domnívají, že skupiny napojené na Čínu se připravují na možné kybernetické útoky v případě ozbrojeného konfliktu obou velmocí (nebo rostoucího geopolitického napětí mezi nimi).
Začátkem tohoto roku se jeden takový „hacktivista“, napojený pro změnu na Rusko, pokusil narušit provoz několika veřejných služeb ve státu Texas. Na více místech na území USA hlásily napadení i systémy zdravotní péče.
„Zákulisní spolupráce s těmito skupinami dává vládám znepřátelených zemí možnost věrohodně popřít účast na destruktivních útocích, jež tyto skupiny provádějí. A to podle mě mění pravidla hry,“ citoval časopis Fortune Dawn Cappelliovou, odbornici na kybernetickou bezpečnost z firmy Dragos.
Předpokládá se, že světové kybernetické velmoci již léta pronikají do kritické infrastruktury svých protivníků a podstrkují jim škodlivý software, jehož spuštěním lze poskytování základních veřejných služeb závažně narušit. „Chceme, aby lidi věděli, že zde nacházíme spoustu problémů,“ řekla McCabeová.
Scházejí peníze
Letos v únoru podepsal prezident Joe Biden nařízení na ochranu amerických přístavů. Bílý dům naléhá i na elektrárenské společnosti, aby svou kybernetickou bezpečnost zkvalitnily. Šéf EPA Michael Regan a poradce Bílého domu pro národní bezpečnost Jake Sullivan požádali státy, aby vypracovaly plán boje proti kybernetickým útokům na systémy pitné vody.
Problém je, že na to často nejsou peníze. Vodárenský sektor je velmi roztříštěný. Existuje zhruba 50 000 obecních vodáren, z nichž většina slouží malým městům. Skromný počet zaměstnanců a chudé rozpočty na mnoha místech ztěžují provoz základních činností, jako je dodržování stále složitějších bezpečnostních předpisů.
„Systémy pitné a odpadní vody jsou atraktivním cílem kybernetických útoků, protože jsou životně důležitým odvětvím kritické infrastruktury, ale často jim chybí zdroje a technické kapacity pro přijetí přísných postupů kybernetické bezpečnosti,“ napsali Regan a Sullivan v dopise z 18. března všem 50 guvernérům USA.
Podle McCabeové jsou některá řešení jednoduchá. Například poskytovatelé vody by neměli používat přednastavená hesla. Musí vypracovat plán hodnocení rizik, který se bude kybernetické bezpečnosti důkladně věnovat, a zřídit záložní systémy.
Agentura EPA tvrdí, že vodárenské společnosti, které budou potřebovat pomoc, vyškolí zdarma. Větší podniky obvykle disponují většími zdroji a odbornými znalostmi, aby se mohly útokům bránit.
Politika versus realita
EPA se potýká s potížemi technického i politického rázu. Jednotlivé státy pravidelně přezkoumávají výkonnost vodáren. V březnu 2023 agentura nařídila státům, aby do těchto přezkumů přidaly hodnocení kybernetické bezpečnosti. Pokud by zjistily problémy, měl by si stát sám na zkoumaných firmách vynutit zlepšení.
Jenže státy Missouri, Arkansas a Iowa tyto pokyny napadly u soudu s odůvodněním, že EPA nemá podle zákona o nezávadné pitné vodě příslušnou pravomoc. Soudní pře přinutily EPA požadavky stáhnout.
Řešení tak zůstává v rovině dobrovolnosti a samoregulace. Manažer z americké vodohospodářské asociace Kevin Morley uvedl, že jeho skupina zveřejňuje pokyny pro poskytovatele veřejných služeb.
Zasazuje se také o zřízení nové organizace odborníků na kybernetickou bezpečnost vodohospodářství, která by ve spolupráci s agenturou EPA vypracovala nové zásady a prosazovala je. „Přiveďme k tomu všechny rozumným způsobem,“ řekl Morley a dodal, že malé a velké veřejné služby mají různé potřeby a různé zdroje.
Jestli bude tento postup dostatečně efektivní, se můžeme dozvědět rychleji, než jsme si donedávna mysleli.