What can Municipalities do to better protect water systems from hackers?
Πρόσφατα, άγνωστος παραβίασε τα ηλεκτρονικά συστήματα της εγκατάστασης επεξwork πόσιμου νερού στο Oldsmar της Φλόριντα (ΗΠΑ) και προσπάθησε να δηλητηριάσει την παροχή νερού της πόλης αλλάζοντας τα επίπεδα του υδροξειδίου του νατρίου.
There are concerns about possible future cyber-attacks against other, under-protected water treatment systems in small towns around the world and what can be done to prevent such attacks.
In the case of Florida, cybercriminals used remote access tools to invade and alter the levels of chemicals in the water supply, raising them to potentially dangerous levels.
This is worrying, among other things, because it is not a blind attack but a targeted attack that takes time to plan and execute. And while this incident was not a zero-day exploit attack vulnerabilities, chances are someone had put in the eye the target for quite some time.
Future attacks against other Municipalities are expected. Most likely, another attack will be carried out with procedures applied to Ransomware type attacks.
So what can small towns do?
According to Cameron Camp, Researcher at themeτα Ασφαλείας στην ηγέτιδα εταιρία κυβερνοασφάλειας ESET, οι μικρές πόλεις θα πρέπει να αφιερώσουν χρόνο για να κατανοήσουν και να εφαρμόσουν τις οδηγίες που είναι ήδη διαθέσιμες, και οι οποίες μπορεί να είναι τόσο απλές όσο η προσθήκη ελέγχου ταυτότητας δύο παραγόντων (2FA), η ενημέρωση των συστημάτων, η εκπαίδευση του προσωπικού στις σωστές πρακτικές ασφαλείας, και η εφαρμογή σωστών διαδικασιών ελέγχου των αλλαγών (σύμφωνα με αναφορές των ΜΜΕ, το TeamViewer είχε αντικατασταθεί ως λύση απομακρυσμένης πρόσβασης στη συγκεκριμένη μονάδα επεξεργασίας νερού, παρ' όλα αυτά παρέμεινε σε λειτουργία, εκθέτοντας το εργοστάσιο στο Internet μέσω μιας μη απαιτούμενης interfaces).
The ESET researcher also suggests that small town water utilities do a simulation exercise for a hypothetical breach of their electronic systems and then seek the solution by trying to "think like hackers".
In fact, Cameron Camp is urging water utilities to conduct a simulation exercise in the event of a ransomware attack. That way, small towns will not have to explain to their citizens why they spent public money to stop an attack that could have been prevented from the start.