(SeaPRwire) –   (WASHINGTON) — Các cuộc tấn công mạng vào các nhà cung cấp nước trên khắp cả nước ngày càng gia tăng về tần suất và mức độ nghiêm trọng, Cơ quan Bảo vệ Môi trường Hoa Kỳ cảnh báo hôm thứ Hai khi cơ quan này ban hành cảnh báo thực thi, kêu gọi các hệ thống cấp nước thực hiện hành động ngay lập tức để bảo vệ nguồn nước uống của quốc gia.

Cơ quan này cho biết, khoảng 70% các tiện ích mà các quan chức liên bang kiểm tra trong năm ngoái đã vi phạm các tiêu chuẩn nhằm ngăn chặn các mối đe dọa trên mạng. Các quan chức kêu gọi ngay cả các hệ thống cấp nước nhỏ cũng tăng cường biện pháp bảo vệ chống lại các cuộc tấn công mạng, lưu ý rằng các cuộc tấn công gần đây của các quốc gia đối địch như Nga và Iran đã tác động đến các hệ thống cấp nước ở mọi quy mô.

Theo cảnh báo, một số hệ thống cấp nước đang không đáp ứng được những yêu cầu cơ bản, bao gồm không thay đổi mật khẩu mặc định hoặc cắt quyền truy cập hệ thống đối với các cựu nhân viên. Cơ quan Bảo vệ Môi trường cho biết, bảo vệ công nghệ thông tin và kiểm soát quy trình là rất quan trọng, vì các công ty cung cấp nước thường dựa vào phần mềm máy tính để vận hành các nhà máy xử lý và hệ thống phân phối. Theo cơ quan này, những tác động có thể xảy ra của các cuộc tấn công mạng bao gồm gián đoạn xử lý và dự trữ nước; hư hỏng máy bơm và van; và thay đổi nồng độ hóa chất ở mức độ nguy hiểm.

Janet McCabe, Phó quản trị viên của Cơ quan Bảo vệ Môi trường cho biết: “Trong nhiều trường hợp, các hệ thống không thực hiện đúng những gì họ đáng ra phải làm, đó là hoàn thành việc đánh giá rủi ro về các lỗ hổng bảo mật của họ, bao gồm an ninh mạng, và đảm bảo các kế hoạch này sẵn có và cung cấp thông tin cho hoạt động kinh doanh của họ”.

Những nỗ lực của các nhóm hoặc cá nhân tư nhân nhằm truy cập vào mạng của nhà cung cấp nước và tấn công hoặc phá hoại trang web không phải là điều mới mẻ. Tuy nhiên, gần đây, những kẻ tấn công không chỉ nhắm vào các trang web mà thay vào đó, chúng nhắm vào các hoạt động của các tiện ích.

Các cuộc tấn công gần đây không chỉ do các thực thể tư nhân thực hiện – nhiều cuộc tấn công được chính phủ hậu thuẫn nhằm mục đích phá hoại nguồn cung cấp nước sạch cho nhà dân và doanh nghiệp. McCabe nêu tên Trung Quốc, Nga và Iran là các quốc gia “đang tích cực tìm kiếm khả năng vô hiệu hóa cơ sở hạ tầng quan trọng của Hoa Kỳ, bao gồm nước và nước thải”.

Cuối năm ngoái, một nhóm có liên hệ với Iran có tên “Cyber Av3ngers” , buộc nhóm này phải chuyển từ máy bơm từ xa sang vận hành thủ công. Nhóm này đang truy đuổi một thiết bị do Israel sản xuất được tiện ích sử dụng sau cuộc chiến tranh của Israel chống lại Hamas.

Đầu năm nay, một “kẻ tấn công mạng” có liên hệ với Nga .

Một nhóm mạng liên kết với Trung Quốc và quốc gia này bao gồm cả nước uống, tại Hoa Kỳ và các vùng lãnh thổ của Hoa Kỳ, các quan chức Hoa Kỳ cho biết.

Dawn Cappelli, một chuyên gia an ninh mạng tại công ty quản lý rủi ro Dragos Inc, cho biết: “Bằng cách hoạt động hậu trường với các nhóm hacktivist này, giờ đây, các (quốc gia dân tộc) này có thể phủ nhận hợp lý và họ có thể để những nhóm này thực hiện các cuộc tấn công phá hoại. Và đối với tôi, đó là một bước ngoặt”.

Cảnh báo thực thi nhằm mục đích nhấn mạnh mức độ nghiêm trọng của các mối đe dọa trên mạng và thông báo cho các tiện ích rằng Cơ quan Bảo vệ Môi trường sẽ tiếp tục các cuộc kiểm tra của mình và áp dụng các biện pháp trừng phạt dân sự hoặc hình sự nếu phát hiện ra các vấn đề nghiêm trọng.

McCabe cho biết: “Chúng tôi muốn đảm bảo rằng chúng tôi sẽ tuyên truyền đến mọi người rằng ‘Này, chúng tôi đang phát hiện ra rất nhiều vấn đề ở đây’”.

Ngăn chặn các cuộc tấn công nhằm vào các nhà cung cấp nước là một phần trong nỗ lực rộng lớn hơn của chính quyền Biden nhằm chống lại các mối đe dọa đối với cơ sở hạ tầng quan trọng. Vào tháng 2, Tổng thống Biden đã ký một sắc lệnh hành pháp . Hệ thống chăm sóc sức khỏe . Nhà Trắng cũng vậy. Giám đốc Cơ quan Bảo vệ Môi trường Michael Regan và Cố vấn An ninh Quốc gia Nhà Trắng Jake Sullivan đã yêu cầu các tiểu bang đưa ra kế hoạch chống lại các cuộc tấn công mạng vào hệ thống nước uống.

Trong bức thư gửi cho tất cả 50 thống đốc Hoa Kỳ vào ngày 18 tháng 3, Regan và Sullivan đã viết: “Các hệ thống nước uống và nước thải là mục tiêu tấn công mạng hấp dẫn vì chúng là trụ cột trong lĩnh vực cơ sở hạ tầng quan trọng, nhưng thường thiếu các nguồn lực và năng lực kỹ thuật để áp dụng các biện pháp an ninh mạng nghiêm ngặt”.

McCabe cho biết một số cách khắc phục rất đơn giản. Ví dụ, các nhà cung cấp nước không nên sử dụng mật khẩu mặc định. Họ cần xây dựng kế hoạch đánh giá rủi ro giải quyết vấn đề an ninh mạng và thiết lập các hệ thống sao lưu. Cơ quan Bảo vệ Môi trường cho biết họ sẽ đào tạo miễn phí các công ty cung cấp nước cần hỗ trợ.

Alan Roberson, giám đốc điều hành của Hiệp hội các nhà quản lý nước uống của tiểu bang cho biết: “Trong thế giới lý tưởng… chúng tôi muốn tất cả mọi người đều có cấp độ an ninh mạng cơ bản và có thể xác nhận rằng họ có cấp độ đó”. Nhưng đó còn lâu mới tới được đích”.

Một số rào cản có tính nguyên tắc. Ngành nước rất manh mún. Có khoảng 50.000 nhà cung cấp nước công cộng, hầu hết trong số đó phục vụ các thị trấn nhỏ. Việc thiếu nhân sự và ngân sách tại nhiều nơi khiến cho việc duy trì các công việc cơ bản – cung cấp nước sạch và tuân thủ các quy định mới nhất trở nên khó khăn.

Amy Hardberger, chuyên gia về nước tại Đại học Texas Tech cho biết: “Tất nhiên, an ninh mạng là một phần của điều đó, nhưng đó không bao giờ là chuyên môn chính của họ. Vì vậy, bây giờ các bạn đang yêu cầu một công ty nước phát triển hẳn một loại phòng ban mới” để giải quyết các mối đe dọa trên mạng.

Cơ quan Bảo vệ Môi trường đã phải đối mặt với những khó khăn. Các tiểu bang định kỳ xem xét hiệu suất của các nhà cung cấp nước. Vào tháng 3 năm 2023, Cơ quan Bảo vệ Môi trường đã chỉ thị các tiểu bang thêm các đánh giá an ninh mạng vào các đợt đánh giá đó. Nếu phát hiện có vấn đề, tiểu bang sẽ buộc thực hiện các biện pháp cải thiện.

Nhưng Missouri, Arkansas và Iowa, cùng với Hiệp hội American Water Works và một nhóm ngành nước khác, đã thách thức các hướng dẫn trên tại tòa án với lý do Cơ quan Bảo vệ Môi trường không có thẩm quyền theo Đạo luật Nước uống An toàn. Sau một thất bại tại tòa, Cơ quan Bảo vệ Môi trường đã rút lại các yêu cầu của mình nhưng vẫn thúc giục các tiểu bang tự nguyện hành động.

Đạo luật Nước uống An toàn yêu cầu một số nhà cung cấp nước lập kế hoạch cho một số mối đe dọa và xác nhận rằng họ đã thực hiện.

Roberson cho biết: “Đơn giản là không có thẩm quyền nào cho (an ninh mạng) trong luật”.

Kevin Morley, người quản lý quan hệ liên bang