(Jamie Tarabay, Katrina Manson, Bloomberg, 22 december 2023) – Eind november viel een door Iran gesteunde hackersgroep in Israël gemaakte digitale besturingselementen aan die vaak worden gebruikt in de water- en afvalwaterindustrie in de VS, waarbij meerdere organisaties in verschillende staten werden getroffen.
Diezelfde maand werd het North Texas Municipal Water District, dat water levert aan meer dan 2 miljoen klanten, het slachtoffer van een ransomware-aanval. En eerder dit jaar vielen hackers gelinkt aan het Chinese Volksbevrijdingsleger een waterbedrijf in Hawaï aan, volgens de Washington Post.
Geen van de inbraken tastte de waterkwaliteit of -voorziening aan of schakelde een kritieke functie uit. Maar ze vonden allemaal plaats terwijl de Amerikaanse overheid aan het onderhandelen was met gemeentelijke waterorganisaties en beleidsmakers over hoe een van de meest kritieke bronnen van het land het best beschermd kon worden tegen cyberaanvallen.
De Iraanse hacks waren een waarschuwing die ambtenaren ertoe aanzette hun inspanningen te verdubbelen om ten minste minimale beveiligingsnormen af te spreken. Maar tot nu toe is er weinig echte vooruitgang geboekt.
De recente gebeurtenissen “maken duidelijk dat onze nationale cyberbeveiliging nog niet is waar die moet zijn”, zei Anne Neuberger, plaatsvervangend nationaal veiligheidsadviseur, eerder deze maand tegen verslaggevers. Het Witte Huis werkt nu nauw samen met het Congres om de bevoegdheden van de EPA te versterken om minimale cyberbeveiligingspraktijken in de hele watersector te garanderen, zei ze.
De volgende keer kan het veel erger zijn. Het watersysteem is een bijzonder kwetsbaar onderdeel van de Amerikaanse infrastructuur, vol zwakke controles, onvoldoende financiering, personeelstekort en een gebrek aan vertrouwen tussen de industrie en overheidsinstanties.
In oktober werd het Environmental Protection Agency gedwongen om plannen te herroepen die eerder dit jaar waren geïntroduceerd. Daarmee werde staten verplicht om de toereikendheid van cyberbeveiligingsmaatregelen op waterfaciliteiten te evalueren om zo de verdediging te versterken en de blootstelling te beperken. Republikeinse wetgevers in drie staten noemden het toezicht illegaal en beschuldigden de EPA van overreach.
Minder dan twee maanden later liet een groep die de naam CyberAv3ngers draagt en die volgens het Amerikaanse Cybersecurity & Infrastructure Security Agency banden heeft met de Islamitische Revolutionaire Garde van zich horen. Ze hadden zich gericht op digitale controleapparaten die worden gebruikt in de water- en afvalwaterindustrie en die worden gemaakt door het Israëlische bedrijf Unitronics.
De hackers, die op zoek gingen naar apparaten die met het internet verbonden waren en standaard wachtwoorden hadden, schakelden de digitale beeldschermen die gebruikt werden om de waterdruk te regelen uit en lieten een bericht achter: “U bent gehackt, weg met Israël.”
De Amerikaanse overheid heeft zich ingespannen om alle openbare nutsvoorzieningen te beveiligen tegen de toenemende dreiging van digitale inbraken. Eerder dit jaar werd een cyberbeveiligingsplan opgesteld om de bescherming van kritieke sectoren te versterken en softwarebedrijven wettelijk aansprakelijk te stellen als hun producten niet aan de basisnormen voldoen.
Maar de watersector is problematischer dan andere sectoren omdat deze ongeveer 150.000 actieve openbare watersystemen in het hele land omvat. Daarvan bedient 97% gemeenschappen van 10.000 mensen of minder en heeft een minimale bezetting. Velen van hen zijn afhankelijk van kleine beetjes staats- of gemeentefinanciering, waardoor er weinig overblijft om te investeren in technische expertise.
De Municipal Water Authority of Aliquippa, die ongeveer 15.000 mensen rond Pittsburgh bedient, stond centraal in de hack van de Iraanse groep. Experts op het gebied van cyberbeveiliging hadden een toename verwacht in de activiteiten van door de staat gesteunde Iraanse en pro-Palestijnse hackers sinds de aanval van Hamas op Israël op 7 oktober.
De cyberaanvallen reikten verder dan het kleine waterschap in het westen van Pennsylvania en maakten andere industrieën kwetsbaar die dezelfde apparatuur gebruiken, zoals de energiesector, de voedsel- en drankindustrie en de gezondheidszorg, aldus CISA. Ten minste 10 watergerelateerde bedrijven werden getroffen door de CyberAv3ngers-aanval, aldus een persoon die bekend is met de zaak.
Zo werd een kleine ambachtelijke brouwerij in New Jersey een onwaarschijnlijk slachtoffer van de wereldwijde hackingoperaties van de Islamitische Revolutionaire Garde.
Het familiebedrijf Frye Brewing Company zei dat het gedwongen was om een paar dagen te stoppen met het brouwen van ales en lagers als gevolg van de CyberAv3ngers-hack. Dit benadrukt de bredere risico’s waarmee het gefragmenteerde Amerikaanse watersysteem wordt geconfronteerd.
“We zijn letterlijk een klein familiebedrijfje dat overlast ondervond van een oorlog die een wereld verderop werd uitgevochten”, zei Mike Frye, die de brouwerij samen met zijn vrouw Colleen runt, in een e-mail. “We waren laks in onze beveiliging en dat heeft ons een paar dagen hoofdpijn gekost,” zei Frye.
Ambtenaren van het Witte Huis, onder leiding van Neuberger, en EPA-medewerkers hadden eerder deze maand een ontmoeting met vertegenwoordigers van waterverenigingen om te bespreken hoe ze zich in de toekomst het beste konden verdedigen. Dit melden mensen die bekend waren met de bijeenkomst en die niet wilden worden geïdentificeerd vanwege privégesprekken.
De waterverenigingen kwamen overeen om de boodschap te verspreiden naar de nutsbedrijven over hoe te voldoen aan de basis cyberbeveiligingsnormen, zeiden de mensen. Maar gesprekken over het verplicht stellen van cyberbeveiligingscontroles bij routine-inspecties of andere technische details, inclusief mogelijke federale of overheidssteun, waren oppervlakkiger en leidden niet tot enige actie, aldus een van de mensen.
“Waar we ons sinds 9/11 het meest zorgen over hebben gemaakt, is dat iemand een ziekteverwekker of een chemisch biologisch agens in een watervoorziening stopt”, zegt Mark Montgomery. Hij is gepensioneerde vice-admiraal en senior directeur van het centrum voor cyber– en technologie-innovatie bij de Foundation for Defense of Democracies.
Montgomery en anderen hebben aanbevelingen geschreven voor wetgeving die onder andere zou bestaan uit het bieden van technische ondersteuning aan waterbeheerders op het platteland en een risico- en veerkrachtprogramma voor grotere systemen.
Maar deze maatregelen, die zouden worden opgenomen in een wetsvoorstel van het ministerie van Landbouw, hebben stilgelegen omdat de wetgevers over andere zaken discussiëren.
Ondertussen hoopt de regering Biden dat staten bestaande middelen kunnen gebruiken om de cyberveiligheid van kwetsbare watersystemen te verbeteren – door fondsen aan te boren in de Bipartisan Infrastructure Law, aldus een woordvoerder van de National Security Council.
De discussies tussen de EPA en de waterverenigingen zijn al jaren doorspekt met bitterheid. Het agentschap kwam in maart met een voorstel waarvan de waterindustrie herhaaldelijk zei dat het onwerkbaar was en geen wettelijke basis had, volgens mensen die bekend zijn met de discussies.
Vergaderingen werden door mensen die bekend waren met de discussies omschreven als “gespannen” en leden van verenigingen zeiden dat ze zich in sommige sessies eerder “aangepraat” dan gehoord voelden. De EPA zei dat het “uitvoerig overleg had gevoerd” met belanghebbenden “om een gezamenlijk bewustzijn op te bouwen, de problemen te begrijpen en de zorgen weg te nemen”.
Sinds de EPA het voorgestelde plan in oktober introk, was er weinig communicatie geweest tussen de waterorganisaties en het federale agentschap, zei Alan Roberson, uitvoerend directeur van de Association of State Drinking Water Administrators.
De EPA zei in een verklaring dat het maandelijks vergadert met “relevante leden van de watersector, waaronder regelmatig vertegenwoordigers van verschillende nationale waterverenigingen”. Het meest recente gesprek vond begin november plaats.
“We moeten meer vooruitgang boeken”, zei Neuberger vorige week in de marge van een veiligheidsconferentie in Washington. “Ik denk dat alle mogelijkheden op tafel liggen.”
