ระบบน้ำดื่มที่ให้บริการประชากร 27 ล้านคนในสหรัฐอเมริกามีช่องโหว่ด้านความปลอดภัยที่มีความเสี่ยงสูง

ประชากรเกือบ 27 ล้านคนในสหรัฐอเมริกากำลังใช้น้ำจากระบบน้ำดื่มที่มีช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในระดับ High หรือ Critical ตามรายงานฉบับใหม่จาก U.S. Environmental Protection Agency’s Office of the Inspector General (OIG)

รายงานของสำนักงานผู้ตรวจการทั่วไปของ EPA OIG ระบุว่า "นอกจากนี้ ระบบน้ำดื่มที่ให้บริการประชากรอีก 83 ล้านคนยังมีช่องโหว่ในระดับ Medium หรือ Low ซึ่งมาจากการที่มีพอร์ทัลที่เปิดให้เข้าถึงได้จากภายนอก"

การตรวจสอบของ OIG เป็นความพยายามล่าสุดในการสนับสนุนความปลอดภัยทางไซเบอร์ที่ยังไม่เพียงพอในระบบน้ำของสหรัฐฯ ตามรายงานของ Government Accountability Office (GAO) ในเดือนสิงหาคม การแจ้งเตือนของ EPA ในเดือนพฤษภาคม และคำเตือนจากนักวิจัยด้านความปลอดภัยเกี่ยวกับกลุ่มผู้ไม่หวังดีจากรัสเซีย และผู้ไม่หวังดีจากต่างประเทศที่พุ่งเป้าหมายไปยังระบบน้ำดื่ม

ระบบน้ำ และระบบบำบัดน้ำเสียถือเป็นหนึ่งในโครงสร้างพื้นฐานที่สำคัญที่มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์มากที่สุด โดยทั่วไปชุมชนยังไม่มีการเตรียมพร้อมรับมือกับการหยุดชะงักที่อาจยาวนานหลายวัน หรือมากกว่านั้น อย่างไรก็ตามการโจมตีทางไซเบอร์ล่าสุดที่เกิดขึ้นกับ American Water Works และเมือง Arkansas City ในรัฐแคนซัส ดูเหมือนว่าจะไม่ส่งผลกระทบกับ Operational Technology (OT)

รายงานของ OIG ระบุว่า "หากผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่พบจากการประเมิน พวกเขาอาจก่อให้เกิดการหยุดชะงักของบริการ หรือสร้างความเสียหายทางกายภาพต่อโครงสร้างพื้นฐานของระบบน้ำดื่มที่ไม่อาจแก้ไขได้"

เครือข่ายระบบน้ำถูกสแกนหาช่องโหว่ด้านความปลอดภัย

การตรวจสอบของ OIG ได้ตรวจสอบระบบน้ำดื่มที่ให้บริการประชากร 50,000 คนขึ้นไป รวมทั้งหมด 1,062 ระบบ ซึ่งครอบคลุมประชากร 193 ล้านคน หรือประมาณ 56% ของประชากรในสหรัฐฯ การสแกนหาช่องโหว่เมื่อวันที่ 8 ตุลาคม 2024 พบว่ามีระบบน้ำดื่ม 97 ระบบที่มีความเสี่ยงสูง และอีก 211 ระบบที่มีความเสี่ยงปานกลาง

รายงานระบุว่า "การทดสอบช่องโหว่ ใช้เครื่องมือประเมินช่องโหว่หลายระดับ เพื่อตรวจสอบเครือข่ายที่เปิดสู่สาธารณะของระบบน้ำดื่ม"

OIG ระบุว่า "ผลการทดสอบพบช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่ผู้โจมตีอาจใช้ประโยชน์เพื่อลดระดับการทำงานของระบบ, ทำให้เกิดการสูญเสีย, การปฏิเสธการให้บริการ หรือช่วยในการขโมยข้อมูลลูกค้า หรือข้อมูลที่เป็นกรรมสิทธิ์"

OIG ระบุว่า "อัลกอริธึมการให้คะแนนแบบ non-linear ถูกใช้เพื่อจัดลำดับความสำคัญของผลการค้นหาที่มีความเสี่ยงสูงสุด ซึ่งควรได้รับการแก้ไขก่อน ผลการค้นหาจะถูกจัดอันดับตามคะแนนที่พิจารณาจากผลกระทบของปัญหา, ความเสี่ยงต่อองค์กร และจำนวนครั้งที่ปัญหาถูกพบ ความเสี่ยงถูกแบ่งออกเป็นห้าหมวดหมู่ ได้แก่

  • Email security
  • IT hygiene
  • Vulnerabilities
  • Adversarial threats
  • Malicious activity

รายงานระบุถึงความซับซ้อนของระบบน้ำดื่ม ซึ่งอาจประกอบไปด้วยหลายส่วน หรือสถานที่ตั้งอยู่ทั่วพื้นที่ทางภูมิศาสตร์ สถานที่เหล่านั้นอาจรวมถึงอาคาร และโครงสร้างพื้นฐานที่ใช้ในการเก็บรวบรวม, การปั๊ม, การบำบัด, การเก็บรักษา หรือการแจกจ่ายน้ำดื่ม

เนื่องจากความซับซ้อนดังกล่าว จึงมีการวิเคราะห์ IP มากกว่า 75,000 รายการ และโดเมน 14,400 รายการ เพื่อหาช่องโหว่ที่อาจเกิดขึ้น

พบปัญหาเกี่ยวกับการรายงาน และการตอบสนองต่อเหตุการณ์

การตรวจสอบของ OIG ยังพบจุดอ่อนในการรายงาน และการประสานงานตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ในระบบน้ำ

รายงานระบุว่า "ขณะพยายามแจ้ง EPA เกี่ยวกับช่องโหว่ด้านความปลอดภัยทางไซเบอร์ เราพบว่า EPA ไม่มีระบบรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ของตนเองที่ระบบน้ำ และระบบบำบัดน้ำเสียที่สามารถใช้แจ้งเหตุการณ์ด้านความปลอดภัยทางไซเบอร์กับทาง EPA ได้"

แต่หน่วยงานดังกล่าวพึ่งพา Cybersecurity and Infrastructure Security Agency (CISA) สำหรับการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์

OIG ระบุว่า "นอกจากนี้ เรายังไม่สามารถหานโยบาย และขั้นตอนที่เป็นเอกสารที่เกี่ยวข้องกับการประสานงานของ EPA กับ Cybersecurity and Infrastructure Security Agency และหน่วยงานรัฐบาลกลาง และรัฐอื่น ๆ ที่เกี่ยวข้องกับการตอบสนองต่อเหตุฉุกเฉิน, แผนความปลอดภัย, มาตรวัด และมาตรการลดความเสี่ยง"

ความท้าทายในการปฏิบัติตามพระราชบัญญัติโครงสร้างพื้นฐานด้านน้ำ

รายงานยังได้พิจารณาประวัติในการบรรลุการปฏิบัติตาม America's Water Infrastructure Act of 2018 (AWIA) ซึ่งเป็นการปรับปรุงอย่างครอบคลุมของพระราชบัญญัติความปลอดภัยของน้ำดื่ม

มาตรา 2013 ของ AWIA กำหนดให้ระบบน้ำประจำชุมชนที่ให้บริการมากกว่า 3,300 คนต้องพัฒนา หรืออัปเดตการประเมินความเสี่ยง และความสามารถในการฟื้นฟู รวมถึงแผนการตอบสนองฉุกเฉิน ซึ่งครอบคลุมถึงความสามารถในการฟื้นฟูของโครงสร้างพื้นฐานทั้งทางกายภาพ และไซเบอร์, การปฏิบัติการตรวจสอบ และกลยุทธ์ในการตอบสนองต่อการกระทำที่เป็นอันตราย หรือภัยธรรมชาติ มาตรา 2013 ยังกำหนดให้ระบบน้ำต้องรับรองต่อ EPA ว่าได้ดำเนินการประเมินความเสี่ยง และความสามารถในการฟื้นฟู รวมถึงแผนการตอบสนองฉุกเฉิน

อย่างไรก็ตาม ผลการค้นหาจาก OIG และ EPA ในช่วงสองปีที่ผ่านมา พบว่ายังขาดการปฏิบัติตามข้อกำหนดเหล่านั้น

ที่มา : thecyberexpress