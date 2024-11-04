American Water, il più grande gestore di acqua e acque reflue quotato in borsa negli Stati Uniti, ha recentemente subito un incidente di cybersecurity che ha costretto l'azienda a disconnettere sistemi chiave, inclusa la piattaforma di fatturazione per i clienti. Mentre l'azienda continua le indagini, crescono le preoccupazioni per le vulnerabilità che persistono nel settore idrico, che è diventato sempre più un bersaglio di attacchi informatici
La violazione è un chiaro promemoria dei rischi infrastrutturali critici che da tempo affliggono il settore. Sebbene il gestore idrico abbia confermato che le sue operazioni e la qualità dell'acqua non sono state compromesse, la chiusura del sistema di fatturazione e del portale clienti da parte di American Water mette in evidenza l'intersezione critica tra vulnerabilità tra tecnologia operativa (OT) e informatica (IT) nei servizi essenziali.
I sistemi idrici e reflui negli Stati Uniti sono vitali per la salute pubblica e l'ambiente, ma soffrono anche di sottofinanziamento cronico, infrastrutture legacy e una superficie di attacco in espansione. La dipendenza dai sistemi OT, molti dei quali privi di moderne protezioni di sicurezza, ha reso queste utility particolarmente vulnerabili alle minacce informatiche.
Secondo un report della CISA, gli hacktivisti filo-russi hanno preso di mira sempre più i sistemi di controllo industriale (ICS) all'interno delle aziende dei servizi energetici, spesso utilizzando password predefinite, accesso remoto non protetto e altre pratiche di scarsa igiene informatica.
I sistemi idrici sono unici in quanto si basano su complesse reti di ICS per gestire funzioni critiche, come i processi di trattamento e la distribuzione. Questi sistemi non sono stati inizialmente progettati con la cybersecurity in mente, portando a un mosaico di protezioni che non riescono a soddisfare il panorama attuale.
Gli aggressori, e particolare gli attori statali, considerano i gestori idrici come obiettivi preziosi per il loro potenziale di disturbare le infrastrutture civili e scatenare panico. E a causa della mancanza di una solida sicurezza, i sistemi idrici sono più facili da violare. Nel complesso, le vulnerabilità del settore idrico lo rendono un obiettivo chiave per gli avversari che cercano di ottenere guadagni economici o di esercitare pressioni geopolitiche.
La decisione di American Water di divulgare l'attacco informatico tramite un documento 8-K evidenzia il suo ruolo come infrastruttura critica e i requisiti normativi legati a tale status critico. Il Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) del 2022 impone agli enti di infrastrutture critiche di segnalare gli incidenti informatici a CISA entro 72 ore dal rilevamento. Questo fa parte di un'iniziativa federale più ampia per garantire la segnalazione e la risposta tempestiva alle minacce informatiche che colpiscono i servizi essenziali.
Secondo CIRCIA, le organizzazioni sono tenute ad avvisare non solo le agenzie federali come CISA, ma anche il pubblico, in particolare quando interruzioni del servizio o le violazioni dei dati riguardano i consumatori. In questo caso, la dichiarazione 8-K di American Water funge sia da notifica legale che pubblica, poiché la Securities and Exchange Commission (SEC) impone alle società quotate in borsa di segnalare eventi rilevanti che potrebbero influire sulla loro situazione finanziaria.
Questo processo di avviso è fondamentale per mantenere la fiducia pubblica nei servizi critici. Sebbene American Water abbia assicurato al pubblico che la qualità dell'acqua e i processi operativi non sono stati compromessi, la trasparenza nella divulgazione dell'attacco informatico riflette l'ambiente normativo più rigoroso in cui ora operano gli operatori delle infrastrutture critiche.
Il settore idrico, come molti altri settori di infrastrutture critiche, opera in base a un framework di standard di cybersecurity volontari e obbligatori. Nel 2023, l'U.S. Environmental Protection Agency (EPA) ha tentato di introdurre audit obbligatori di cybersecurity per le aziende idriche nell'ambito dell'applicazione del Safe Water Drinking Act.
Questi audit miravano a valutare la posizione di cybersecurity delle aziende energetiche, molte delle quali hanno faticato a implementare misure di sicurezza di base, come l'autenticazione multi-fattore (MFA) e la segmentazione della rete. Tuttavia, le sfide legali da parte di diversi stati hanno ritardato la piena attuazione di questi mandati e il landscape rimane in continuo cambiamento.
CISA ha inoltre emesso linee guida complete sulla sicurezza dei sistemi ICS e OT nei settori idrico e delle acque reflue. Queste linee guida, delineate nei suoi Cross-Sector Cybersecurity Performance Goals (CPG), includono raccomandazioni per ridurre l'esposizione di sistemi critici a internet, far rispettare politiche di password rigorose e garantire che i dispositivi industriali obsoleti vengano sostituiti o gestiti in modo sicuro.
La crescente frequenza degli attacchi informatici al settore idrico ha sollecitato una discussione nazionale più ampia sulla necessità di regolamentazioni più severe e standard a livello di settori. In risposta, l'amministrazione Biden ha sottolineato l'importanza di costruire resilienza nei sistemi idrici attraverso la formazione sulla cybersecurity, la condivisione delle minacce e investimenti nelle tecnologie di sicurezza.
L'attacco informatico di American Water sottolinea le vulnerabilità che continuano ad affliggere i settori dell'acqua e delle acque reflue, in particolare all'incrocio tra IT e OT. Con le minacce continue da parte di attori statali e gruppi hacktivisti, il settore idrico deve rafforzare urgentemente la propria postura di cybersecurity.
La trasparenza di American Water nel segnalare l'incidente e la collaborazione con il CISA e le forze dell'ordine hanno creato un precedente necessario per altri fornitori di infrastrutture critiche. Con l'evolversi delle normative sulla cybersecurity, le aziende idriche dovranno dare priorità all'igiene informatica, adottare best practice dalle agenzie federali e prepararsi all'inevitabilità di futuri attacchi.