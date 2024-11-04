American Water, utilitas air dan air limbah Amerika Serikat terbesar yang diperdagangkan secara publik, baru-baru ini mengalami insiden keamanan siber yang memaksa perusahaan untuk memutuskan sistem kunci, termasuk platform penagihan pelanggannya. Seiring dengan berlanjutnya investigasi perusahaan, ada kekhawatiran yang semakin meningkat tentang kerentanan yang terus berlanjut di sektor air, yang semakin menjadi target serangan siber.
Pelanggaran tersebut merupakan pengingat nyata akan risiko infrastruktur penting yang telah lama melanda industri. Sementara utilitas air telah mengonfirmasi bahwa operasi dan kualitas airnya tidak terpengaruh, penutupan sistem penagihan dan portal pelanggannya American Water menyoroti persimpangan penting antara kerentanan teknologi operasional (OT) dan teknologi informasi (TI) dalam layanan penting.
Sistem air dan air limbah di A.S. sangat penting bagi kesehatan masyarakat dan lingkungan, tetapi sistem ini juga mengalami kekurangan dana kronis, infrastruktur lama, dan permukaan serangan yang semakin luas. Ketergantungan pada sistem OT, banyak di antaranya tidak memiliki perlindungan keamanan modern, telah membuat utilitas ini sangat rentan terhadap ancaman siber.
Menurut sebuah laporan oleh CISA, hacker pro-Rusia semakin menargetkan sistem kontrol industri (ICS) dalam utilitas air, sering mengeksploitasi kata sandi default, titik akses jarak jauh yang tidak aman dan praktik kebersihan cyber yang lemah lainnya.
Sistem air unik karena bergantung pada jaringan ICS yang kompleks untuk mengelola berbagai fungsi penting, seperti proses pengolahan dan distribusi. Sistem-sistem ini pada awalnya tidak dirancang dengan mempertimbangkan keamanan siber, yang mengarah pada tambal sulam perlindungan yang gagal memenuhi lingkungan ancaman saat ini.
Penyerang, terutama aktor yang didukung negara, menganggap utilitas air sebagai sasaran strategis mengingat kemampuannya untuk mengacaukan infrastruktur sipil dan menciptakan kepanikan luas. Dan karena kurangnya keamanan yang kuat, sistem air lebih mudah dilanggar. Secara keseluruhan, kerentanan sektor air menjadikannya target utama bagi musuh yang mencari keuntungan moneter atau untuk memberikan tekanan geopolitik.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Keputusan American Water untuk mengungkapkan serangan siber melalui pengajuan 8-K menyoroti perannya sebagai infrastruktur penting dan persyaratan peraturan yang terkait dengan status tersebut. Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Penting (CIRCIA) Tahun 2022 mengamanatkan bahwa entitas infrastruktur kritis melaporkan insiden siber ke CISA dalam waktu 72 jam setelah deteksi. Ini adalah bagian dari inisiatif federal yang lebih luas untuk memastikan pelaporan dan respons tepat waktu terhadap ancaman siber yang menargetkan layanan penting.
Di bawah CIRCIA, organisasi diharuskan untuk memberi tahu tidak hanya lembaga federal seperti CISA tetapi juga publik, terutama ketika gangguan layanan atau pelanggaran data memengaruhi konsumen. Dalam hal ini, pengajuan 8-K American Water berfungsi sebagai pemberitahuan hukum dan publik, karena Securities and Exchange Commission (SEC) mengamanatkan bahwa perusahaan yang diperdagangkan secara publik melaporkan peristiwa material yang dapat memengaruhi posisi keuangan mereka.
Proses pemberitahuan ini sangat penting untuk menjaga kepercayaan publik terhadap layanan kritis. Sementara American Water meyakinkan publik bahwa kualitas air dan proses operasional tidak terpengaruh, transparansi dalam mengungkapkan serangan siber berbicara tentang lingkungan peraturan yang meningkat di mana operator infrastruktur penting sekarang berfungsi.
Sektor air, seperti banyak sektor infrastruktur penting lainnya, beroperasi di bawah kerangka kerja standar keamanan siber sukarela dan wajib. Pada tahun 2023, Badan Perlindungan Lingkungan AS (EPA) berusaha untuk memperkenalkan audit keamanan siber wajib untuk Utilitas di bawah penegakannya Undang-Undang Minum Air Aman.
Audit ini dimaksudkan untuk menilai postur keamanan siber utilitas, banyak di antaranya yang kesulitan menerapkan langkah-langkah keamanan dasar, seperti autentikasi multi-faktor (MFA) dan segmentasi jaringan. Namun, tantangan hukum dari beberapa negara bagian telah menunda implementasi penuh mandat ini, dan lingkungan peraturan masih berubah-ubah.
CISA juga telah mengeluarkan panduan komprehensif untuk mengamankan sistem ICS dan OT di sektor air dan air limbah. Panduan ini, yang diuraikan dalam Tujuan Kinerja Keamanan Siber Lintas Sektor (CPG), mencakup rekomendasi untuk mengurangi paparan sistem penting ke internet, menegakkan kebijakan kata sandi yang kuat, dan memastikan bahwa perangkat industri yang ketinggalan zaman diganti atau dikelola dengan aman.
Meningkatnya frekuensi serangan siber di sektor air telah mendorong diskusi nasional yang lebih luas tentang perlunya peraturan yang lebih ketat dan standar industri. Sebagai tanggapan, pemerintahan Biden telah menekankan pentingnya membangun ketahanan dalam sistem air melalui pelatihan keamanan siber, berbagi ancaman, dan investasi dalam teknologi keamanan.
Serangan siber American Water menggarisbawahi kerentanan yang terus Lanjutkan untuk mengganggu sektor air dan air limbah, terutama di persimpangan TI dan OT. Dengan ancaman yang sedang berlangsung dari aktor negara-bangsa dan kelompok hacktivist, industri harus segera memperkuat postur keamanan sibernya.
Transparansi American Water dalam melaporkan insiden dan kerja sama dengan CISA dan penegak hukum menjadi preseden yang diperlukan bagi penyedia infrastruktur penting lainnya. Karena keamanan siber terus berkembang, utilitas air perlu memprioritaskan kebersihan siber, mengadopsi praktik terbaik dari lembaga federal dan mempersiapkan serangan di masa depan yang tak terhindarkan.