EPAとNSAは3月18日付けの州知事に宛てた書簡の中で、水道システムのサイバーセキュリティ対策を包括的に評価し、重大な脆弱性の検証とリスク軽減措置を講じ、サイバーインシデントへの準備と発生した場合の対応や回復計画を策定するよう求めた。
「上下水道システムは、ライフラインにおける重要なインフラであるため、サイバー攻撃の格好の標的となっている。しかし、厳格なサイバーセキュリティ対応を実践するためのリソースや技術力が不足しているケースが多い」とこの書簡は警告している。
EPAは、水道事業者と協力して「水道セクターにおけるサイバーセキュリティタスクフォース(Water Sector Cybersecurity Task Force)」を立ち上げ、全国の水道システムがサイバー攻撃を受けるリスクを低減するための短期的な行動計画と戦略を策定すると述べている。
ここ数年で、水道会社を含む重要インフラへのサイバー攻撃は急増しており、その多くは敵対的な国家に関連するグループによって実行されている。あるケースでは、イラン政府傘下のイスラム革命防衛隊に関連するサイバー攻撃者が、上水道システムを含む多くの重要インフラに対して悪意のあるサイバー攻撃を行った。この攻撃は、広く使われているユニトロニクス社のPLC(プログラマブル・ロジック・コントローラ)を標的とし、使用不能にするものだったが、施設側がPLCのパスワードをデフォルトのまま変更していなかったことでハッキングを許してしまった。
また、別の事例では、中国政府が支援するVolt Typhoon(ボルト・タイフーン)と呼ばれるハッカー集団が上水道を含む複数の重要インフラシステムを攻撃し、停止させた。
「上下水道システムを狙った一連の攻撃から、我々はこれらの重要インフラがハッカーに攻撃される可能性があることを改めて認識する必要がある」と、Synopsys(シノプシス)のシニアマネージャーのデブラップ・ゴッシュ(Debrup Ghosh)は指摘する。
「電気・水道・ガスなどの公益事業を含むあらゆる組織がソフトウェア企業であり、サイバー衛生とソフトウェアサプライチェーンセキュリティに真剣に取り組む必要がある」と彼は語った。
(forbes.com 原文)
