Nguồn cung cấp nước của bạn đang bị tấn công mạng

Các cuộc tấn công mạng vào ngành nước ngày càng trở nên phổ biến trong những năm gần đây, do tội phạm mạng gia tăng. Ngành công nghiệp nước là mục tiêu đặc biệt dễ bị tấn công của tin tặc, nơi có cơ sở hạ tầng quan trọng có giá trị nhưng lại thiếu các biện pháp an ninh mạng tiên tiến. Một phân tích về các cuộc tấn công quan trọng trong những năm gần đây cho thấy một số xu hướng quan trọng. Điều gì đang gây ra các cuộc tấn công mạng vào ngành nước ngày càng gia tăng và những bước nào đang được thực hiện để giải quyết vấn đề?

Các cuộc tấn công mạng chính trong ngành nước

Chi phí toàn cầu của tội phạm mạng đã kết thúc cao gấp chín lần vào năm 2022 so với năm 2018, ước đạt 8,44 nghìn tỷ USD. Ngày nay, mọi người đều có nguy cơ bị tấn công mạng cao hơn, bao gồm cả các nhà cung cấp dịch vụ tiện ích như công ty cung cấp và xử lý nước. Ngành nước của Hoa Kỳ đã bị tấn công bởi một số cuộc tấn công mạng lớn trong những năm gần đây, gây ra mối đe dọa nghiêm trọng đối với sức khỏe và an toàn cộng đồng.

Ví dụ: vào năm 2018, Cơ quan quản lý hoạt động cấp nước và thoát nước Onslow ở Bắc Carolina đã phải đóng cửa mạng CNTT của mình sau hai cuộc tấn công ransomware liên tiếp. Tổ chức ở Jacksonville phân phối nước cho hơn 100.000 cư dân Bắc Carolina. May mắn thay, các cuộc tấn công ransomware không làm gián đoạn dịch vụ cho những cư dân đó, nhưng chúng đã gây nguy hiểm cho sự an toàn của cơ sở hạ tầng và dữ liệu tiện ích.

Vào năm 2019, một thanh niên 22 tuổi đã xâm nhập từ xa vào mạng của Cơ quan Cấp nước Nông thôn Hạt Ellsworth ở Kansas. Hacker đã cố gắng can thiệp vào mức độ chất khử trùng trong cơ sở xử lý nước, nhưng cuộc tấn công đã bị dừng lại trước khi gây hại. Các quan chức sau đó đã xác định và truy tố thủ phạm, người được phát hiện là một cựu nhân viên của cơ sở Hạt Ellsworth.

Tương tự, vào năm 2021, các cuộc tấn công mạng song sinh tấn công các cơ sở ngành nước ở San Francisco, California và Oldsmar, Florida. Cả hai cuộc tấn công đều liên quan đến việc sử dụng chương trình truy cập từ xa có tên TeamViewer. Ứng dụng này thường được sử dụng trong ngành công nghiệp tiện ích cho các tác vụ như giám sát từ xa dữ liệu cung cấp và xử lý nước. Tuy nhiên, hacker lại lạm dụng để thao túng trái phép hệ thống của các công ty ngành nước. May mắn thay, cả hai cuộc tấn công đã bị chặn lại trước khi chúng gây ra bất kỳ thiệt hại nào.

Chiến thuật và động cơ của tin tặc

Điều gì đang thúc đẩy tất cả các cuộc tấn công này vào ngành nước? Có một số yếu tố khiến tin tặc chuyển sang các mục tiêu ít thông thường hơn như các tổ chức ngành nước.

Ransomware-as-a-Service giúp những kẻ xấu tham gia vào việc hack dễ dàng hơn bao giờ hết. Một hacker nghiệp dư có thể truy cập vào một chương trình ransomware tinh vi bằng cách trả một khoản phí nhỏ cho người tạo ra phần mềm độc hại. Kết quả là ngày nay có nhiều tin tặc tích cực tham gia vào tội phạm hơn so với 5 hoặc 10 năm trước.

Số lượng tin tặc ngày càng nhiều khiến nhiều người cân nhắc các loại mục tiêu mới. Một tổ chức lý tưởng cho tin tặc là một tổ chức có ít hoặc không có tài nguyên bảo mật bên cạnh một số loại cơ sở hạ tầng quan trọng. Ngành nước cần một cách tiếp cận tập trung để đảm bảo an ninh và nhiều cơ sở xử lý và phân phối cần có nhận thức về mạng quan trọng hơn. Họ thường có ít biện pháp bảo vệ chống truy cập mạng trái phép, làm lộ cơ sở hạ tầng có giá trị.

Ví dụ: ba trong số bốn cuộc tấn công mạng vào ngành nước được mô tả ở trên liên quan đến việc khai thác các chương trình truy cập từ xa và thông tin đăng nhập của nhân viên. Các chuyên gia ước tính rằng ít nhất 25% vi phạm dữ liệu là do thông tin đăng nhập bị đánh cắp, chẳng hạn như thông tin đăng nhập được sử dụng trong hai cuộc tấn công mạng vào ngành nước năm 2021.

Trong các cuộc tấn công ở San Francisco và Oldsmar, tin tặc đã sử dụng thông tin đăng nhập bị đánh cắp để giao dịch trên dark web. Tại Oldsmar, tất cả nhân viên của cơ sở được cho là đã sử dụng cùng một mật khẩu để truy cập ứng dụng TeamViewer. Trong cuộc tấn công vào năm 2019 tại Quận Ellsworth, Kansas, tin tặc đã lạm dụng các đặc quyền của nhân viên từng làm trong ngành cấp nước. Trong những trường hợp này, các biện pháp kiểm soát truy cập và nhận dạng tốt hơn có thể đã ngăn chặn tin tặc truy cập vào các hệ thống và dữ liệu nhạy cảm.

Động cơ của nhiều cuộc tấn công mạng vào ngành nước dường như dựa trên thiệt hại hoặc nỗi sợ hãi. Tin tặc đã cố gắng đầu độc nguồn cung cấp nước công cộng bằng nhiều phương pháp khác nhau trong nhiều cuộc tấn công. Chẳng hạn, họ có thể sử dụng các công cụ truy cập từ xa để thay đổi lượng hóa chất xử lý nước thành mức độ độc hại.

Lợi ích tài chính có thể cũng là một động lực lớn, như trong trường hợp của hai cuộc tấn công ransomware năm 2018 tại một cơ sở ở Jacksonville, Bắc Carolina. Các chuyên gia ngành nước và các nhà lãnh đạo ngành nên ghi nhớ rằng FBI khuyên các tổ chức không bao giờ trả tiền chuộc trong các cuộc tấn công ransomware. Trả tiền khuyến khích tin tặc tiếp tục các chiến dịch tội phạm và không có gì đảm bảo rằng họ sẽ thực sự khôi phục dữ liệu của nạn nhân sau khi trả tiền.

Hoa Kỳ đang tăng cường bảo vệ ngành nước như thế nào

Chính phủ liên bang Hoa Kỳ đang đẩy mạnh cải thiện an ninh nhằm đối phó với các mối đe dọa mạng đang gia tăng đối với ngành nước. Ví dụ, vào năm 2018, Quốc hội đã thông qua Đạo luật Cơ sở hạ tầng Nước của Hoa Kỳ. Nó thiết lập các yêu cầu đánh giá rủi ro đối với công trình cấp nước phục vụ từ 3.300 người trở lên. Đạo luật này cũng phác thảo hướng dẫn và hỗ trợ kỹ thuật mà EPA dự kiến sẽ cung cấp cho các tổ chức ngành nước.

Vào năm 2023, EPA công bố các yêu cầu an ninh mạng tối thiểu được cập nhật cho các công trình cấp nước công cộng. Các yêu cầu mới bao gồm các cuộc kiểm tra an ninh mạng bắt buộc để đảm bảo các cơ sở trên toàn quốc thực hiện các biện pháp phòng vệ kiên cường. Các yêu cầu cập nhật tuân theo sáu sáng kiến năm 2021 mà Văn phòng Trách nhiệm giải trình Chính phủ đề xuất, bao gồm hỗ trợ từ Sáng kiến Quốc gia về Giáo dục An ninh mạng.

EPA cũng đang thực hiện các bước để giúp các tổ chức ngành nước cải thiện các hoạt động bảo mật của họ. Ví dụ: chương trình đào tạo Bootcamp về mọi mối nguy hiểm của Tiện ích Nước và Nước thải mà EPA cung cấp bao gồm đào tạo nhân viên về nhận thức không gian mạng và ứng phó khẩn cấp. Đào tạo nhân viên là một phần quan trọng trong việc cải thiện an ninh mạng tại bất kỳ tổ chức nào. Các công ty ngành nước có thể sử dụng các chiến lược như trò chơi hóa và mô phỏng để tối đa hóa tác động của các chương trình như vậy.

Ngoài ra, Trung tâm Phân tích và Chia sẻ Thông tin Nước đã có sự gia tăng thành viên. Tổ chức cung cấp dữ liệu an ninh và hướng dẫn cho các cơ sở ngành nước trên toàn quốc. Việc kết nối các chuyên gia trong ngành nước thông qua các tổ chức như thế này có thể nâng cao nhận thức về mạng và phát triển các giải pháp bảo mật dành riêng cho ngành.

Bảo vệ ngành nước

Mọi người đều dựa vào ngành nước để đảm bảo sức khỏe, an toàn và thực phẩm, vì vậy việc bảo vệ ngành nước khỏi các mối đe dọa kỹ thuật số là điều tối quan trọng. Các tổ chức ngành nước phải thực hiện các bước chủ động để bảo vệ hệ thống và dữ liệu của họ khỏi các cuộc tấn công, chủ yếu là do tin tặc ngày càng nhắm mục tiêu vào ngành. EPA Hoa Kỳ và các tổ chức trong ngành cung cấp hướng dẫn và viện trợ để hỗ trợ các công ty ngành nước khi họ thích nghi với các nhu cầu an ninh cao hơn.