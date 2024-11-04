تعرضت شركة American Water، أكبر شركة مرافق لخدمات المياه والصرف الصحي متداولة في بورصة الولايات المتحدة، مؤخرًا لحادث أمن إلكتروني أجبر الشركة على فصل الأنظمة الرئيسية، بما في ذلك منصة إصدار فواتير العملاء. ومع استمرار التحقيقات التي تجريها الشركة، تتزايد المخاوف بشأن الثغرات الأمنية التي لا تزال قائمة في قطاع المياه، الذي أصبح هدفًا للهجمات الإلكترونية بشكل متزايد.
ويُعد هذا الاختراق تذكيرًا صارخًا بمخاطر البنية التحتية الحيوية التي لطالما عانى منها هذا المجال. وبينما أكدت شركة مرافق خدمات المياه أن عملياتها وجودة المياه لم تتأثر، إلا أن تعطيل نظام إصدار الفواتير وبوابة العملاء الخاصة بشركة American Water يسلط الضوء على الترابط الحاسم بين الثغرات التقنية التشغيلية (OT) وثغرات تكنولوجيا المعلومات (IT) في الخدمات الأساسية.
تُعد أنظمة المياه والصرف الصحي في الولايات المتحدة ضرورية للصحة العامة والبيئة، لكنها تعاني أيضًا من نقص مزمن في التمويل، والبنية التحتية القديمة، وتوسع نطاق الهجوم. وقد أدى الاعتماد على أنظمة التقنية التشغيلية، التي يفتقر الكثير منها إلى وسائل الحماية الأمنية الحديثة، إلى جعل شركات مرافق الخدمات هذه عرضة للتهديدات الإلكترونية بشكل خاص.
وفقًا لتقرير صادر عن CISA، استهدف نشطاء اختراق تابعون لروسيا بشكل متزايد أنظمة التحكم الصناعية (ICS) داخل شركات مرافق خدمات المياه، مستغلين غالبًا كلمات المرور الافتراضية، ونقاط الوصول عن بُعد غير المؤمنة، وممارسات السلامة الإلكترونية الضعيفة الأخرى.
تتميز أنظمة المياه بأنها تعتمد على شبكات معقدة من أنظمة التحكم الصناعية لإدارة الوظائف المهمة مثل عمليات المعالجة والتوزيع. لم تُصمم هذه الأنظمة منذ البداية مع أخذ الأمن الإلكتروني في الحسبان، ما أدى إلى وجود مجموعة من وسائل الحماية التي تفشل في مواجهة التهديدات الحالية.
ينظر المهاجمون، لا سيما الجهات التابعة للدول، إلى شركات مرافق خدمات المياه كأهداف قيّمة بسبب إمكانية تعطيلها للبنية التحتية المدنية والتسبب في حالة من الذعر على نطاق واسع. ومن السهل اختراق أنظمة المياه بسبب افتقارها إلى نظام أمني فائق. بشكل عام، الثغرات الأمنية في قطاع المياه تجعله هدفًا رئيسيًا للخصوم الذين يسعون إلى تحقيق مكاسب مالية أو لممارسة الضغط الجيوسياسي.
يبرز قرار American Water بالكشف عن الهجوم الإلكتروني عبر ملف 8-K دورها كبنية تحتية حيوية والمتطلبات التنظيمية المرتبطة بهذا الوضع. ينص قانون الإبلاغ عن الحوادث الإلكترونية للبنية التحتية الحيوية (CIRCIA) لعام 2022 على ضرورة إبلاغ هيئات البنية التحتية الحيوية CISA عن الحوادث الإلكترونية خلال 72 ساعة من اكتشافها. ويُعد هذا جزءًا من مبادرة فيدرالية أوسع تهدف إلى ضمان إعداد التقارير والاستجابة في الوقت المناسب للتهديدات الإلكترونية التي تستهدف الخدمات الأساسية.
بموجب قانون CIRCIA، يتعين على المؤسسات إخطار ليس فقط الوكالات الفيدرالية مثل CISA بل أيضًا الجمهور، خاصة عندما تؤثر انقطاعات الخدمة أو حوادث اختراق أمن البيانات في المستهلكين. وفي هذه الحالة، يُعَدّ تقديم شركة American Water لملف 8-K بمثابة إخطار قانوني وعام، حيث تفرض هيئة الأوراق المالية والبورصات (SEC) على الشركات المتداولة في البورصة الإبلاغ عن الأحداث المهمة التي قد تؤثر في وضعها المالي.
تُعد عملية الإخطار هذه ضرورية للحفاظ على ثقة الجمهور في الخدمات الحيوية. في حين أكدت شركة American Water للجمهور أن جودة المياه والعمليات التشغيلية لم تتأثر، إلا أن الشفافية في الكشف عن الهجوم الإلكتروني تعكس البيئة التنظيمية الصارمة التي يعمل فيها مشغلو البنية التحتية الحيوية الآن.
يعمل قطاع المياه، على غرار العديد من قطاعات البنية التحتية الحيوية الأخرى، ضمن إطار العمل لمعايير الأمن الإلكتروني الطوعية والإلزامية. في عام 2023، حاولت وكالة حماية البيئة الأمريكية (EPA) فرض عمليات تدقيق إلزامية للأمن الإلكتروني على شركات مرافق خدمات المياه بموجب تطبيقها لقانون شرب المياه الآمنة.
كانت عمليات التدقيق هذه تهدف إلى تقييم وضع الأمن الإلكتروني في شركات مرافق الخدمات، والتي واجه الكثير منها صعوبات في تنفيذ تدابير أمنية أساسية، مثل المصادقة متعددة العوامل (MFA) وتجزئة الشبكات. ومع ذلك، أدت الطعون القانونية المقدمة من عدة ولايات إلى تأخير التنفيذ الكامل لهذه الواجبات، ولا يزال المجال التنظيمي في حالة تغير مستمر.
كما أصدرت CISA أيضًا إرشادات شاملة حول تأمين أنظمة التحكم الصناعية وأنظمة التقنية التشغيلية في قطاعي المياه والصرف الصحي. تتضمن هذه الإرشادات، الموضحة في أهداف أداء الأمن الإلكتروني عبر القطاعات (CPGs)، توصيات لتقليل تعرض الأنظمة الحيوية للإنترنت، وفرض سياسات كلمات مرور قوية، وضمان استبدال الأجهزة الصناعية القديمة أو إدارتها بأمان.
وقد أثار تزايد وتيرة الهجمات الإلكترونية على قطاع المياه نقاشًا وطنيًا أوسع حول الحاجة إلى وضع لوائح أكثر صرامة ومعايير على مستوى المجال. واستجابة لذلك، أكدت إدارة بايدن على أهمية دمج المرونة في أنظمة المياه من خلال التدريب على الأمن الإلكتروني، ومشاركة التهديدات، والاستثمار في التقنيات الأمنية.
يسلط الهجوم الإلكتروني الذي تعرضت له شركة American Water الضوء على الثغرات الأمنية التي لا يزال يعاني منها قطاعا المياه والصرف الصحي، لا سيما عند التقاء ثغرات تكنولوجيا المعلومات مع ثغرات التقنية التشغيلية. وفي ظل التهديدات المستمرة من الجهات التابعة للدول ومجموعات نشطاء الاختراق، يجب على مجال المياه تعزيز وضع الأمن الإلكتروني بشكل عاجل.
وقد شكلت شفافية شركة American Water في الإبلاغ عن الحادث وتعاونها مع CISA وجهات إنفاذ القانون سابقة ضرورية لمقدمي خدمات البنية التحتية الحيوية الآخرين. ومع استمرار تغير لوائح الأمن الإلكتروني، ستحتاج شركات مرافق خدمات المياه إلى إعطاء الأولوية للسلامة الإلكترونية، وتبني أفضل الممارسات الصادرة عن الوكالات الفيدرالية والاستعداد لحتمية حدوث هجمات في المستقبل.