水道は通常、サイバーセキュリティの脅威と密接に関連する業界ではありませんでした。しかし近年、この分野はますます自動化され、悪質業者の標的にされるようになっているため、水道事業のサイバーセキュリティは緊急の優先事項となっています。
情報技術(IT)、運用技術(OT )、モノのインターネット(IoT )がデジタル化され、接続されるようになるにつれ、ハッカーは重要なインフラから貴重なデータが引き出され、それらがいかに脆弱であるかを認識するようになった。公益事業におけるデジタル接続性が高まる一方で、セキュリティの考え方は追いついていない。これは憂慮すべき傾向である。水道の接続が進むにつれて、ハッカー、ランサムウェア、非国家主体からの脅威は激しさと深刻さを増し続けるだろう。OT とIoT ネットワークは、ほとんどのセキュリティが集中するITとは異なる、しばしばより困難な方法で安全が保たれている。
重要なサービスの提供者である水道事業体に対するサイバー攻撃の影響は、彼らがサービスを提供する地域社会に大きな損害を与える可能性がある。
デジタル変革期において、水道事業はサイバーセキュリティを考慮しなければならない。
水道事業者のサイバーセキュリティ・リスク
上下水道セクターは5,000億ドル近い価値があるが、最近までハッカーにとって収益化可能なターゲットではなかった。自動化やリモート・システム・アクセスの必要性はほとんどなく、物理的に機械を停止させる以上のハッカーにとっての価値は限られていた。
近年の技術進歩は、水分野における生産性を大幅に向上させた。リモートアクセスにより、専門スキルを持つ人々が世界のどこからでも接続し、革新的なアイデアを推進したり、複雑な問題のトラブルシューティングを行ったりできるようになった。オートメーションとIoT は、今や現代の重要なインフラ構造の中核をなす部分となっている。
しかし、このようなデジタル変革は、水道業界の構造もあって、サイバーセキュリティの変革には結びついていない。さらに、OT 、IoT のネットワークは、セキュリティを確保するのが難しすぎると考えられがちだ。
Water Sector Coordinating Councilは、水道事業体の3分の1以上がサイバーセキュリティに予算の1%しか割り当てていないと推定している。予算だけでなく、リスク評価、軽減策、復旧計画も見落とされている。
過去20年間、サイバー攻撃は複雑多岐にわたり、その被害はあらゆる分野に及んでいる。
- クイーンズランド州マルーチー・シャイアーのハッカーが無線ネットワークを標的にし、100万リットル以上の汚水を地元の公園、道路、河川に放流した。
- イランの工作員がダムの水門を制御する無防備なコンピューターをハッキングした。
- フロリダ州オールズマーでは、攻撃者たちが水中の化学レベルを変えようとした。
水分野で使用される技術の多くは世界中で標準的に使用されており、ある施設の脆弱性は他の施設でも経験する可能性が高い。このようなギャップがハッカーによって発見されれば、すべての人のリスクは増大する。企業間や政府との協力は増えているが、リスクと解決策に関する認識を高めるためにもっと多くのことを行う必要がある。
脅威の種類
組織犯罪や悪意のある国家や国家に支援された行為者は、コミュニティにおける重要な役割や、大量の貴重なデータを保持していることから、以前から重要インフラを標的としてきた。IBMによると、情報漏えいの主な原因はヒューマンエラーだという。脆弱なパスワード、セキュリティ情報の共有、フィッシングメールのクリックなど、すべてがサイバー攻撃の原因となりうる。
タイムライン
- 2000年、オーストラリアのクイーンズランド州で、不満を抱いた元従業員が下水処理場をハッキングし、数カ月にわたって100万リットル以上の汚水を垂れ流した。
- 2013年にはイランのハッカーがニューヨークのダムに侵入し、修理に3万ドルかかった。
- 2016年、フィッシング作戦によりランシグ水道光熱委員会はシステムからロックされた。ランシグ社はアクセス回復に2万5000ドル、影響を受けたコンピューターとソフトウェアの交換に1000万ドルを支払った。
- 2017年、シリアのグループが米国の水道事業体の化学薬品注入量を変更することができた。
- 2018年、アトランタ市はランサムウェア攻撃に見舞われ、市のライフラインに支障をきたし、流域管理局は1週間近く業務用コンピューターにアクセスできなくなった。復旧費用は500万米ドルに上った。
- 2020年、アメリカのグリーンビル・ウォーター社はオンライン決済システムを侵害され、50万人の住民に影響を与えた。
- 2021年、フロリダ州オールズマーの浄水場がハッキングされ、攻撃者は水中の灰汁濃度を上げて水道水を汚染しようとした。この攻撃は人が口にする前に阻止された。
水道事業のサイバーセキュリティ強化
水のサイバーセキュリティ攻撃を軽減するには、侵害前の考え方が重要です。小規模な公益事業者であっても、侵害に早期に備え(プレブリーチ)、新たな脅威に対して更新と監視を継続することが重要です。ユーティリティ企業が攻撃を早期に特定できれば、被害の一部を防ぐことができます。上下水道のOT 、IoT 環境を保護するには、事前対応と事後対応の両方が必要です:
- 計画を立てる: 攻撃を想定し、今すぐ行動してシステムを保護し、サイバー攻撃を阻止し、攻撃後に回復するための計画を立てる。
- 社内研修:セキュリティ手順、脅威の検知方法、攻撃発生時の対処方法などを説明する、スタッフ向けの一貫した最新のトレーニング。
- コラボレーションハッカーは、さまざまな公共施設に共通する脆弱性を特定している。台頭する脅威に関する情報を共有することで、各施設の意識を高め、関連情報を事前に把握することができます。
- 春の大掃除:デジタル・フットプリント全体を定期的に評価し、脆弱なシステムを発見する。監視されていない古いアプリケーションは、特に攻撃を受けやすい。
- 投資する米国の水道事業体の約38%は、予算の1%しかサイバーセキュリティに割り当てていない。緩和戦略には費用がかかりますが、代替策に比べればはるかに安価です。
水道事業者がサイバー防御を強化する方法について詳しくは、業界概要をダウンロードするか、上下水道のサイバーセキュリティに関する当社のソリューションページをご覧ください。
