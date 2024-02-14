Il settore idrico e delle acque reflue (WWS) si trova ad affrontare sfide di cybersecurity che lo espongono ad attacchi. In risposta, CISA, EPA e FBI hanno recentemente pubblicato linee guida congiunte per il settore, citando livelli variabili di maturità informatica e potenziali soluzioni di cybersecurity.
La nuova Guida alla risposta agli incidenti (IRG) fornisce al settore idrico informazioni sui ruoli, le risorse e le responsabilità federali per ogni fase del ciclo di vita della risposta agli incidenti informatici. I proprietari e gli operatori del settore possono utilizzare queste informazioni per aumentare i loro Piano di risposta agli incidenti, stabilire standard di riferimento e migliorare la condivisione delle informazioni.
Nell'ottobre 2023, alcuni criminali informatici presumibilmente legati al Corpo delle Guardie della Rivoluzione Islamica (IRGC) dell'Iran hanno preso di mira i servizi idrici in Pennsylvania. Le forze dell'ordine statunitensi hanno anche rivelato che le bande di ransomware hanno preso di mira diverse strutture di trattamento delle acque e delle acque reflue tra il 2019 e il 2021. Ad oggi, nessun attacco ha compromesso la sicurezza dell'acqua potabile.
Dato il rischio continuo, il nuovo IRG identifica i principali partner federali a cui il settore può rivolgersi per ottenere assistenza. Questi includono enti come la CISA, l'EPA, l'FBI, l'Office of the Director of National Intelligence (ODNI) e l'Office of Intelligence and Analysis (I&A) del DHS.
Per quanto riguarda la risposta agli incidenti, il nuovo IRG delinea pratiche specifiche, tra cui:
Il settore idrico statunitense è stato descritto come "ricco di obiettivi e povero di risorse" a causa delle limitate risorse finanziarie e tecniche disponibili, e i sistemi nelle piccole comunità rurali sono particolarmente vulnerabili.
Durante una recente audizione del Comitato per l'energia e il commercio, Rick Jeffares, presidente della Georgia Rural Water Association, ha dichiarato che oltre il 91% dei sistemi idrici comunitari in questo paese servono meno di 10.000 persone. Secondo Jeffares, le comunità piccole e rurali spesso hanno "difficoltà a conformarsi a complicati mandati federali e a fornire acqua potabile sicura e accessibile e servizi igienico-sanitari a causa delle economie di scala limitate e della mancanza di competenze tecniche."
Jeffares ha anche detto che i fornitori che ricevono fondi federali e vendono o installano attrezzatura automatizzata dovrebbero essere "obbligati a rispettare i protocolli standard stabiliti dall'EPA e da altre agenzie per proteggere meglio le aziende idriche dai cyberattacchi".
Durante l'udienza è stata inoltre sottolineata la necessità di coinvolgere i giovani. "Rural Water lo sta facendo tramite un programma di apprendistato registrato, e sta funzionando, quindi vorremmo espanderci. Prevediamo che la nuova generazione di operatori idrici avrà un livello superiore di sofisticazione informatica e cibernetica," ha detto Jeffares.
Senza dubbio, gran parte degli sforzi nazionali per garantire la sicurezza idrica dipenderà dal sostegno finanziario. L'Infrastructure Investment and Jobs Act del 2021 ha autorizzato 250 milioni di USD in cinque anni per l'assistenza EPA ai sistemi idrici pubblici che servono comunità di 10.000 o più persone. L'iniziativa è stata scritta per sostenere progetti che riducono i rischi di cybersecurity dei sistemi idrici.
Tuttavia, il Congresso ha stanziato solo 5 milioni di dollari per il programma, secondo Scott Dewhirst, sovrintendente e direttore operativo di Tacoma Water.
"Finanziare completamente il programma, o almeno fornire un livello di stanziamenti più vicino all'autorizzazione annuale di 50 milioni di dollari, aumenterebbe notevolmente il numero di sistemi idrici in grado di sfruttare queste risorse per migliorare le loro difese informatiche", ha detto Dewhirst ai legislatori.
Chiaramente, l'approvvigionamento idrico della nazione è a rischio. Le iniziative di protezione devono essere attuate senza indugio.