كلمات المرور الافتراضية تهدد البنية التحتية للمياه

تشكل أنظمة مياه الشرب أهدافًا جذابة بشكل متزايد مع تزايد نشاط القراصنة الخبيث على مستوى العالم، وفقًا لتحذيرات جديدة من الأجهزة الأمنية حول العالم. ووفقا للخبراء، فإن التدابير المضادة الأساسية – بما في ذلك تغيير كلمات المرور الافتراضية واستخدام المصادقة متعددة العوامل – لا تزال قادرة على توفير دفاع كبير. ومع ذلك، في الولايات المتحدة وحدها، يمثل أكثر من 50 ألف نظام مياه مجتمعي أيضًا مشهدًا من نقاط الضعف المحتملة التي وفرت ملعبًا للقراصنة في الأشهر الأخيرة.

في تشرين الثاني/نوفمبر الماضي، على سبيل المثال، قام قراصنة مرتبطون بالحرس الثوري الإسلامي الإيراني باقتحام نظام المياه في مدينة أليكيبا غرب بنسلفانيا. وفي يناير/كانون الثاني، اخترق متسللون مرتبطون بجماعة قرصنة روسية نظام المياه في بلدة في تكساس بالقرب من حدود نيو مكسيكو. وفي كلتا الحالتين، لم تتسبب الهجمات في أي ضرر كبير للأنظمة.

ومع ذلك، فإن التهديد الأكبر لا يزال حقيقيا للغاية، وفقا للمسؤولين. وقالت وكالة حماية البيئة الأمريكية في مؤتمر صحفي العام الماضي: “عندما نفكر في الأمن السيبراني والتهديدات السيبرانية في قطاع المياه، فهذا ليس افتراضيا”. “هذا يحدث الان.” ثم، وللإضافة إلى هذا المزيج، أشار مدير مكتب التحقيقات الفيدرالي كريستوفر راي، الشهر الماضي، في منتدى عام في ناشفيل، إلى أن شبكة فولت تايفون الغامضة في الصين (المعروفة أيضًا باسم “فانغارد باندا”) قد اقتحمت “قطاعات الاتصالات السلكية واللاسلكية والطاقة والمياه وغيرها من قطاعات البنية التحتية الحيوية”. “.

“لم تكن هذه الهجمات معقدة للغاية.” – كاثرين ديميديو ليديسما، دراغوس

مراجعة عام 2021 لنقاط الضعف السيبرانية في أنظمة المياه، المنشورة في المجلة ماء، يسلط الضوء على العوامل المتقاربة للأدوات المعززة بالذكاء الاصطناعي والمتصلة بالإنترنت بشكل متزايد والتي تدير أنظمة مياه الشرب ومياه الصرف الصحي بشكل متزايد.

يقول مؤلف الدراسة نيلوفر توبتوك، المحاضر في علوم الأمن والجريمة في جامعة كوليدج لندن: “تسلط هذه الهجمات الإلكترونية الأخيرة في بنسلفانيا وتكساس الضوء على التكرار المتزايد للتهديدات السيبرانية لأنظمة المياه”. “على مر السنين، زاد هذا الشعور بالإلحاح، وذلك بسبب إدخال تقنيات جديدة مثل أنظمة إنترنت الأشياء وتوسيع الاتصال. وتجلب هذه التطورات مجموعة من نقاط الضعف الخاصة بها، وتعد أنظمة المياه أهدافًا رئيسية للجهات الفاعلة الماهرة، بما في ذلك الدول القومية.

وفقًا لكاثرين ديميديو ليديسما، رئيسة السياسة العامة والشؤون الحكومية في شركة Dragos للأمن السيبراني ومقرها واشنطن العاصمة، فإن كلا الهجومين أحدثا فجوات كان ينبغي سدها في المقام الأول. وتقول: “أعتقد أن النقطة المثيرة للاهتمام، وأول شيء يجب مراعاته هنا، هو أن هذه الهجمات لم تكن معقدة للغاية”. “لقد استغلوا أشياء مثل كلمات المرور الافتراضية وأشياء من هذا القبيل للوصول.”

أولوية منخفضة، ثمار منخفضة المعلقة

بيتر هازل هو مدير الأمن السيبراني المادي في شركة يوركشاير ووتر في برادفورد، إنجلترا، وهو مؤلف مشارك لكتاب ماء مراجعة الثغرات السيبرانية في أنظمة المياه لعام 2021. ويقول إن شبكة الكهرباء في الولايات المتحدة تتمتع بموارد جيدة نسبيًا ومحصنة ضد الهجمات السيبرانية، على الأقل عند مقارنتها بأنظمة المياه الأمريكية.

يقول هازل: “يختلف هيكل صناعة المياه في الولايات المتحدة بشكل كبير عن مثيله في أوروبا والمملكة المتحدة، وغالبًا ما يتم انتقاده بسبب عدم كفاية الاستثمار في الصيانة الأساسية، ناهيك عن الأمن السيبراني”. “في المقابل، أدرك قطاع الطاقة في الولايات المتحدة، في أعقاب بعض حالات انقطاع التيار الكهربائي الملحوظة، أهميته الحاسمة … وأسس [the North American Electric Reliability Corporation] كرد. ولا توجد مبادرة مماثلة لحماية قطاع المياه في الولايات المتحدة، ويرجع ذلك أساسًا إلى طبيعته المجزأة – التي يتم تشغيلها عادةً باعتبارها اهتمامات بلدية متعددة بدلاً من النموذج الإقليمي الكبير المترابط الموجود في أماكن أخرى.

يقول دي إيميديو ليديسما إن مشكلة الوفرة لا تخص الولايات المتحدة وحدها. وتقول: “هناك الكثير من مرافق المياه في جميع أنحاء العالم، وأعتقد أن الأمر مجرد لعبة أرقام”. “مع التحول الرقمي، تأتي مخاطر متزايدة من الخصوم الذين قد يتطلعون إلى استهداف قطاع المياه من خلال الوسائل السيبرانية، لأن منشأة المياه في فرجينيا قد تبدو مشابهة جدًا الآن لمرافق المياه في كاليفورنيا، أو لمرافق المياه في أوروبا، أو لمرفق مياه في أوروبا. فائدة في آسيا. ولذلك، نظرًا لأنهم يستخدمون نفس المكونات، فمن الممكن استهدافهم بنفس الوسائل.

ويضيف ديميديو ليديسما: “ولذلك فإننا لا نزال نرى المرافق في البنية التحتية الحيوية ومرافق المياه مستهدفة من قبل الخصوم”. “أو على الأقل ما زلنا نسمع من حكومات الولايات المتحدة، ومن حكومات أخرى، أنهم مستهدفون”.

تحول أميركي وشيك؟

في الشهر الماضي، قدم عضو الكونجرس عن ولاية أركنساس ريك كروفورد وعضو الكونجرس عن ولاية كاليفورنيا جون دوارتي قانون إنشاء منظمة مخاطر المياه والقدرة على الصمود (WRRO) لتأسيس وكالة فيدرالية أمريكية للمراقبة والحماية ضد المخاطر المذكورة أعلاه. ووفقاً لكيفن مورلي، مدير العلاقات الفيدرالية في جمعية أعمال المياه الأمريكية ومقرها واشنطن العاصمة، فإن هذه علامة مرحب بها على ما يمكن أن يكون بعض الارتياح الوشيك، إذا أمكن تحويل مشروع القانون إلى قانون.

يقول مورلي: “لقد طورنا ورقة بيضاء توصي بهذا النوع من النهج في عام 2021”. “لقد شهدت بهذا المعنى عدة مرات، نظرا لاعترافنا بأن مستوى معين من التوحيد ضروري لتوفير فهم مشترك للتوقعات.”

“أعتقد أن أفضل عبارة لتلخيص الأمر هي عبارة عن الأغنياء المستهدفين، والفقراء في الموارد.” – كاثرين ديميديو ليديسما، دراغوس

ويشير هازل، من شركة يوركشاير ووتر، إلى أنه حتى لو أصبح مشروع القانون قانونًا، فقد لا يكون كل ما يريده مؤيدوه. ويقول: “على الرغم من أن تطوير القانون أمر مشجع، إلا أنه يبدو متأخرًا ومحدودًا بعض الشيء”. على النقيض من ذلك، يشير هازل إلى توجيهات المملكة المتحدة والاتحاد الأوروبي بشأن أمن الشبكات والمعلومات في عامي 2016 و2023، والتي تنسق الدفاعات السيبرانية عبر مجموعة من البنية التحتية الحيوية لأي دولة عضو. ويشير إلى أن النهج المرقّع الذي تتجه إليه الولايات المتحدة لا يزال من الممكن أن يترك ثغرات كبيرة.

يقول ديإميديو ليديسما، حول تحديات الأمن السيبراني التي تشكلها أنظمة المياه البلدية اليوم: “أعتقد أن أفضل عبارة لتلخيص الأمر هي استهداف الأغنياء وفقراء الموارد”. “إنها شبكة موزعة للغاية من البنية التحتية الحيوية. [There are] العديد والعديد من مرافق المياه المجتمعية الصغيرة، و [they’re] حيوي للغاية للمجتمعات في جميع أنحاء الولايات المتحدة وعلى المستوى الدولي.

ردًا على التهديدات الناشئة، أصدرت آن نويبرجر، نائبة مستشار الأمن القومي الأمريكي لشؤون الإنترنت والتقنيات الناشئة، في مارس/آذار، دعوة عامة للولايات الأمريكية لتقديم تقرير عن خططها لتأمين الدفاعات الإلكترونية لأنظمة المياه والصرف الصحي الخاصة بها بحلول 20 مايو/أيار. تم الاتصال به IEEE الطيف وفيما يتعلق بالنتائج والردود على استدعاء نويبرجر، رفض متحدث باسم وزارة الخارجية الأمريكية التعليق.