El sector del agua y aguas residuales (WWS) se enfrenta a desafíos de ciberseguridad que lo dejan totalmente expuesto a ataques. En respuesta, la CISA, la EPA y el FBI publicaron recientemente una guía conjunta para el sector, citando niveles variables de madurez cibernética y posibles soluciones de ciberseguridad.
La nueva Guía de respuesta a incidentes (IRG) proporciona al sector del agua información sobre las funciones, los recursos y las responsabilidades federales para cada etapa del ciclo de vida de la respuesta a incidentes cibernéticos. Los propietarios y operadores del sector pueden utilizar esta información para aumentar sus planes de respuesta a incidentes, establecer estándares de referencia y mejorar el intercambio de información.
En octubre de 2023, unos ciberdelincuentes supuestamente vinculados al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) atacaron servicios de agua en Pensilvania. Las agencias policiales estadounidenses también revelaron que bandas de ransomware atacaron múltiples instalaciones de tratamiento de agua y aguas residuales entre 2019 y 2021. Hasta la fecha, ningún ataque ha afectado la seguridad del agua potable.
Dado el riesgo actual, el nuevo IRG identifica socios federales clave donde el sector puede buscar ayuda. Entre ellas se incluyen entidades como la CISA, la EPA, el FBI, la Oficina del Director de Inteligencia Nacional (ODNI) y la Oficina de Inteligencia y Análisis (I&A) del DHS.
Para la respuesta a incidentes, el nuevo IRG describe prácticas específicas, que incluyen:
El sector del agua de EE. UU. ha sido descrito como "rico en objetivos y con pocos recursos" debido a los limitados recursos financieros y técnicos disponibles. Y los sistemas de las comunidades pequeñas y rurales son especialmente vulnerables.
En una audiencia reciente del Comité de Energía y Comercio, Rick Jeffares, presidente de la Asociación de Agua Rural de Georgia, dijo que más del 91 % de los sistemas de agua comunitarios de este país sirven a menos de 10 000 personas. Según Jeffares, las comunidades pequeñas y rurales a menudo tienen "dificultades para cumplir con los complicados mandatos federales y proporcionar agua potable y saneamiento seguros y asequibles debido a las limitadas economías de escala y la falta de experiencia técnica".
Jeffares también dijo que los proveedores que reciben dólares federales y venden o instalan equipos automatizados deberían estar "exigidos por los protocolos estándar establecidos por la EPA y otras agencias para proteger mejor a los servicios de agua de los ciberataques".
En la audiencia también se hizo hincapié en la necesidad de involucrar a los jóvenes. "Rural Water ha estado haciendo esto a través de un programa de aprendizaje registrado, y está funcionando, por lo que nos gustaría expandirnos. Anticipamos que la próxima generación de operadores de agua tendrá un mayor nivel de sofisticación informática y cibernética", dijo Jeffares.
Sin lugar a dudas, gran parte del esfuerzo nacional por la seguridad del agua dependerá del apoyo financiero. La Ley de Inversión en Infraestructura y Empleo de 2021 autorizó 250 millones de dólares durante cinco años para asistencia de la EPA a los sistemas públicos de agua que prestan servicios a comunidades de 10 000 o más personas. La iniciativa se redactó para apoyar proyectos que reducen los riesgos de ciberseguridad del sistema de agua.
Sin embargo, el Congreso solo ha asignado 5 millones de dólares para el programa, según Scott Dewhirst, superintendente y director de operaciones de Tacoma Water.
"Financiar completamente el programa, o al menos proporcionar un nivel de asignaciones más cercano a su autorización anual de 50 millones de dólares, ampliaría enormemente el número de sistemas de agua que pueden aprovechar estos recursos para mejorar sus defensas cibernéticas", dijo Dewhirst a los legisladores.
Está claro que el suministro de agua del país está en riesgo. Las iniciativas de protección deben ponerse en práctica sin demora.