“![](\"https://fortune.com/img-assets/wp-content/uploads/2024/05/GettyImages-505144604-e1716252703891.jpg?w=2048\")
Serangan cyber terhadap penyedia air di seluruh negeri semakin sering dan lebih parah, peringatkan Badan Perlindungan Lingkungan (EPA) pada hari Senin ketika mereka mengeluarkan peringatan penegakan yang mendorong sistem air untuk segera mengambil tindakan untuk melindungi air minum negara.
Sekitar 70% utilitas yang diperiksa oleh pejabat federal selama setahun terakhir melanggar standar yang dimaksudkan untuk mencegah pelanggaran atau intrusi lain, demikian pernyataan badan tersebut. Pejabat mendorong bahkan sistem air kecil untuk meningkatkan perlindungan terhadap hack. Serangan cyber baru-baru ini oleh kelompok yang terafiliasi dengan Rusia dan Iran telah menargetkan komunitas-komunitas kecil.
Beberapa sistem air kurang dalam hal-hal dasar, peringatan itu mengatakan, termasuk kegagalan untuk mengubah kata sandi default atau memutus akses sistem kepada mantan karyawan. Karena utilitas air seringkali mengandalkan perangkat lunak komputer untuk mengoperasikan pabrik pengolahan dan sistem distribusi, melindungi teknologi informasi dan kontrol proses sangat penting, kata EPA. Dampak yang mungkin dari serangan cyber termasuk gangguan dalam pengolahan dan penyimpanan air; kerusakan pada pompa dan katup; dan perubahan tingkat bahan kimia menjadi jumlah yang berbahaya, kata badan tersebut.
\”Dalam banyak kasus, sistem tidak melakukan apa yang seharusnya dilakukan, yaitu telah menyelesaikan penilaian risiko kerentanannya yang mencakup keamanan siber dan memastikan bahwa rencana itu tersedia dan memberikan informasi tentang cara mereka menjalankan bisnis,\” kata Wakil Administrator EPA Janet McCabe.
Upaya oleh kelompok atau individu swasta untuk masuk ke dalam jaringan penyedia air dan menonaktifkan atau merusak situs web bukanlah hal baru. Namun, baru-baru ini, para penyerang tidak hanya menyerang situs web, mereka menargetkan operasi utilitas.
Serangan baru-baru ini bukan hanya oleh entitas swasta. Beberapa hack terbaru pada utilitas air terkait dengan rival geopolitik, dan dapat menyebabkan gangguan pasokan air bersih ke rumah dan bisnis.
EPA tidak mengatakan berapa banyak insiden siber yang terjadi dalam beberapa tahun terakhir, dan jumlah serangan yang diketahui berhasil sejauh ini sedikit.
McCabe menyebut China, Rusia dan Iran sebagai negara-negara yang \”aktif mencari kemampuan untuk menonaktifkan infrastruktur kritis AS, termasuk air dan air limbah.\”
Akhir tahun lalu, kelompok yang terkait dengan Iran bernama \”Cyber Av3ngers\” menargetkan beberapa organisasi termasuk penyedia air sebuah kota kecil di Pennsylvania, memaksa mereka beralih dari pompa jarak jauh ke operasi manual. Mereka menargetkan perangkat buatan Israel yang digunakan oleh utilitas tersebut setelah perang Israel melawan Hamas.
Pada awal tahun ini, kelompok \”hacktivist\” yang terkait dengan Rusia mencoba mengganggu operasi beberapa utilitas di Texas.
Sebuah kelompok siber yang terkait dengan China dan dikenal sebagai Volt Typhoon telah mengompromikan teknologi informasi beberapa sistem infrastruktur kritis, termasuk air minum, di Amerika Serikat dan wilayahnya, kata pejabat AS. Para ahli keamanan siber percaya bahwa kelompok yang bersimpati dengan China sedang mempersiapkan diri untuk potensi serangan siber dalam event konflik bersenjata atau meningkatnya ketegangan geopolitik.
\”Dengan bekerja di belakang layar dengan kelompok-kelompok hacktivist ini, sekarang negara-negara ini memiliki penyangkalan yang masuk akal dan mereka dapat membiarkan kelompok-kelompok ini melancarkan serangan yang merusak. Dan bagi saya itu adalah perubahan permainan,\” kata Dawn Cappelli, ahli keamanan siber dengan perusahaan keamanan siber industri Dragos Inc.
Para kekuatan siber dunia diyakini telah menyusup ke infrastruktur kritis rival selama bertahun-tahun dengan menanamkan malware yang dapat dipicu untuk mengganggu layanan dasar.
Peringatan penegakan dimaksudkan untuk menekankan seriusnya ancaman siber dan memberitahukan utilitas bahwa EPA akan terus melakukan pemeriksaan dan mengejar sanksi perdata atau pidana jika mereka menemukan masalah serius.
\”Kami ingin memastikan bahwa kami menyampaikan kepada orang bahwa ‘Hei, kami menemukan banyak masalah di sini,’\” kata McCabe.
Mencegah serangan terhadap penyedia air adalah bagian dari upaya lebih luas pemerintahan Biden untuk melawan ancaman terhadap infrastruktur kritis. Pada bulan Februari, Presiden Joe Biden menandatangani perintah eksekutif untuk melindungi pelabuhan AS. Sistem perawatan kesehatan telah diserang. Gedung Putih telah mendorong utilitas listrik untuk meningkatkan pertahanan mereka juga. Administrator EPA Michael Regan dan Penasihat Keamanan Nasional Gedung Putih Jake Sullivan telah meminta negara bagian untuk menyusun rencana untuk melawan serangan siber pada sistem air minum.
\”Sistem air minum dan air limbah merupakan target yang menarik untuk serangan siber karena mereka adalah sektor infrastruktur kritis yang penting tetapi seringkali kurang memiliki sumber daya dan kapasitas teknis untuk mengadopsi praktik keamanan siber yang ketat,\” tulis Regan dan Sullivan dalam surat 18 Maret kepada semua 50 gubernur AS.
Beberapa perbaikan adalah sederhana, kata McCabe. Penyedia air, misalnya, seharusnya tidak menggunakan kata sandi default. Mereka perlu mengembangkan rencana penilaian risiko yang mencakup keamanan siber dan menyiapkan sistem cadangan. EPA mengatakan mereka akan melatih utilitas air yang membutuhkan bantuan secara gratis. Utilitas yang lebih besar biasanya memiliki lebih banyak sumber daya dan keahlian untuk membela diri terhadap serangan.
\”Dalam dunia yang ideal … kami ingin semua orang memiliki tingkat keamanan siber yang dasar dan dapat mengonfirmasi bahwa mereka memiliki itu,\” kata Alan Roberson, direktur eksekutif Asosiasi Administrator Air Minum Negara Bagian. \”Tetapi itu masih jauh.\”
Beberapa hambatan bersifat fundamental. Sektor air sangat terfragmentasi. Ada sekitar 50.000 penyedia air komunitas, kebanyakan melayani kota-kota kecil. Staf dan anggaran yang minim di banyak tempat membuat sulit menjaga hal-hal dasar – menyediakan air bersih dan selaras dengan peraturan terbaru.
\”Tentu saja, keamanan siber adalah bagian dari itu, tetapi itu tidak pernah menjadi keahlian utama mereka. Jadi, sekarang Anda meminta utilitas air untuk mengembangkan departemen baru yang benar-benar baru untuk menangani ancaman siber,\” kata Amy Hardberger, ahli air di Universitas Texas Tech.
EPA telah menghadapi kemunduran. Negara-negara secara berkala meninjau kinerja penyedia air. Pada Maret 2023, EPA memerintahkan negara-negara bagian untuk menambahkan evaluasi keamanan siber ke tinjauan tersebut. Jika mereka menemukan masalah, negara tersebut seharusnya memaksa perbaikan.
Namun, Missouri, Arkansas dan Iowa, bersama dengan American Water Works Association dan kelompok industri air lainnya, menantang instruksi tersebut di pengadilan dengan alasan bahwa EPA tidak memiliki wewenang berdasarkan Undang-Undang Air Minum Aman. Setelah kekalahan di pengadilan, EPA menarik kembali persyaratannya tetapi mendorong negara-negara bagian untuk tetap mengambil tindakan sukarela.
Undang-Undang Air Minum Aman mensyaratkan penyedia air tertentu untuk mengembangkan rencana untuk beberapa ancaman dan menyertifikasi bahwa mereka telah melakukannya. Tetapi kekuatannya terbatas.
\”Tidak ada wewenang untuk (keamanan siber) dalam undang-undang,\” kata Roberson.
Kevin Morley, manajer hubungan federal dengan American Water Works Association, mengatakan beberapa utilitas air memiliki komponen yang terhubung ke internet – kerentanan umum, tetapi signifikan. Mengubah sistem-sistem tersebut dapat menjadi tugas yang signifikan dan mahal. Dan tanpa pendanaan federal yang substansial, sistem air kesulitan menemukan sumber daya.
Kelompok industri telah menerbitkan panduan untuk utilitas dan memperjuangkan pendirian organisasi baru ahli keamanan siber dan air yang akan mengembangkan kebijakan baru dan menegakkannya, bekerja sama dengan EPA.
\”Mari kita bawa semua orang dalam cara yang masuk akal,\” kata Morley, menambahkan bahwa utilitas kecil dan besar memiliki kebutuhan dan sumber daya yang berbeda.
\”