あなたの水道はサイバー攻撃を受けています

水道部門のサイバー攻撃は、サイバー犯罪の増加により、近年ますます一般的になっています。水産業は、ハッカーにとって特に脆弱な標的であり、貴重な重要インフラの本拠地であるにもかかわらず、高度なサイバーセキュリティ対策が欠けています。近年の主要な攻撃の分析は、いくつかの重要な傾向を示しています。水道セクターのサイバー攻撃が増加している原因は何ですか?また、この問題を解決するためにどのような措置が講じられていますか?

水分野における主なサイバー攻撃

サイバー犯罪の世界的なコストは終わりました2022 年には 9 倍2018 年と比較すると、8 兆 4,400 億米ドルと推定されています。今日、水道会社や処理会社などの公共事業者を含め、誰もがサイバー攻撃のリスクにさらされています。米国の水道部門は、近年、いくつかの大規模なサイバー攻撃を受けており、公衆衛生と安全に深刻な脅威をもたらしています。

たとえば、2018 年、ノースカロライナ州の Onslow Water and Sewer Activity Authority は、2 回連続してランサムウェア攻撃を受けた後、IT ネットワークをシャットダウンしなければなりませんでした。ジャクソンビルの組織は、ノースカロライナ州の 100,000 人以上の住民に水を配給しています。幸いなことに、ランサムウェア攻撃によって住民へのサービスが中断されることはありませんでしたが、公益事業のデータとインフラストラクチャの安全性が脅かされました。

2019 年、カンザス州のエルズワース郡地方水道区のネットワークに 22 歳の少年がリモートでハッキングしました。ハッカーが試みた消毒剤レベルの改ざん水処理施設で攻撃を仕掛けましたが、危害を加える前に攻撃を止めました。当局は後に加害者を特定し起訴した。犯人はエルズワース郡施設の元従業員であることが判明した.

同様に、2021 年には、 2 つのサイバー攻撃が水道部門の施設を襲ったカリフォルニア州サンフランシスコとフロリダ州オールズマーにあります。どちらの攻撃にも、TeamViewer と呼ばれるリモート アクセス プログラムが使用されていました。このアプリは、公益事業業界で水処理や供給データのリモート監視などのタスクに一般的に使用されています。しかし、ハッカーはそれを悪用して、水道部門の企業のシステムを違法に操作しています。幸いなことに、どちらの攻撃も害を及ぼす前に阻止されました。

ハッカーの戦術と動機

水道部門に対するこれらすべての攻撃の動機は何ですか?ハッカーが水道部門の組織など、従来とは異なるターゲットにシフトする要因はいくつかあります。

Ransomware-as-a-Service により、悪意のある人物によるハッキングがかつてないほど容易になります。アマチュアのハッカーは、マルウェアの作成者に少額の料金を支払うことで、洗練されたランサムウェア プログラムにアクセスできます。その結果、今日では、5 年前または 10 年前よりも多くのハッカーが積極的に犯罪に参加しています。

ハッカーの数が増えると、多くの人が新しいタイプの標的を検討するようになります。ハッカーにとって理想的な組織は、セキュリティ リソースがほとんどまたはまったくなく、何らかの重要なインフラストラクチャを備えている組織です。水道業界は、セキュリティに対する集中型のアプローチを必要としており、多くの処理および配水施設は、より重要なサイバー認識を必要としています。多くの場合、不正なネットワーク アクセスに対する保護策がほとんどなく、貴重なインフラストラクチャが公開されています。

たとえば、上記の 4 つの水道部門のサイバー攻撃のうち 3 つは、リモート アクセス プログラムと従業員の資格情報を悪用するものでした。専門家は、少なくともデータ侵害の 25%は、2021 年の水道部門の 2 つのサイバー攻撃で使用された認証情報など、盗まれた認証情報によって引き起こされます。

サンフランシスコとオールズマーの攻撃では、ハッカーはダークウェブで取引された盗まれた資格情報を使用しました。 Oldsmar では、施設のすべての従業員が同じパスワードを使用して TeamViewer アプリにアクセスしていたと報告されています。 2019 年のカンザス州エルスワース郡への攻撃では、ハッカーが以前の水道部門の仕事の従業員の特権を悪用しました。このような場合、ID とアクセス制御の手段を強化することで、ハッカーが機密性の高いシステムやデータにアクセスするのを防いだ可能性があります。

多くの水セクターのサイバー攻撃の動機は、損害または恐怖に基づいているようです。ハッカーは、多数の攻撃でさまざまな方法で公共の水供給を汚染しようとしました。たとえば、リモート アクセス ツールを使用して、水処理薬品の量を毒性レベルに変更する場合があります。

ノースカロライナ州ジャクソンビルの施設に対する 2018 年の 2 つのランサムウェア攻撃の場合のように、金銭的利益も大きなインセンティブになる可能性があります。水部門の専門家と業界のリーダーは、FBI が次のことを心に留めておく必要があります。 決して身代金を支払わないよう組織に助言するランサムウェア攻撃で。お金を払うことは、ハッカーが犯罪活動を続けることを助長し、お金を払った後に実際に被害者のデータを復元できるという保証はありません。

米国が水部門を守るためにどのようにステップアップしているか

米国連邦政府は、水部門に対するサイバー脅威の増加に対応して、セキュリティの向上に力を入れています。たとえば、2018 年に議会はアメリカの水インフラ法を可決しました。それリスク評価要件を確立する3,300 人以上の水道施設の場合。この法律は、EPA が水部門の組織に提供することが期待されるガイダンスと技術サポートについても概説しています。

2023 年に、EPA 更新された最小サイバーセキュリティ要件をリリース公共水道施設向け。新しい要件には、全国の施設が回復力のある防御を実装していることを確認するための必須のサイバーセキュリティ監査が含まれています。更新された要件は、サイバーセキュリティ教育のための国家イニシアチブからのサポートを含む、政府説明責任局が提案した 6 つの 2021 年イニシアチブに従います。

EPA はまた、水部門の組織がセキュリティ慣行を改善するのを支援するための措置を講じています。たとえば、EPA が提供する上下水道公社の全災害ブートキャンプ トレーニング プログラムには、サイバー意識と緊急対応に関する従業員トレーニングが含まれています。従業員のトレーニングは、あらゆる組織でサイバーセキュリティを改善するための重要な部分です。水セクター企業が使用できるゲーミフィケーションやシミュレーションなどの戦略そのようなプログラムの影響を最大化するために。

さらに、水情報共有および分析センターでは会員数が増加しています。この組織は、全国の水部門施設のセキュリティ データとガイダンスを提供しています。このような組織を通じて水セクターの専門家をつなぐことで、サイバー意識を高め、業界固有のセキュリティ ソリューションを開発することができます。

水セクターの保護

誰もが健康、安全、食品を水産業に依存しているため、デジタルの脅威から水産業を守ることが最優先事項です。水道セクターの組織は、主にハッカーがますます業界を標的にしているため、システムとデータを攻撃から保護するために積極的な措置を講じる必要があります。米国 EPA と業界団体は、水部門の企業がより高度なセキュリティ ニーズに適応するのを支援するためのガイダンスと支援を提供しています。