この音声は自動生成されています。ご意見があればお知らせください。
水道事業者は、米国の重要インフラ組織の中でも最も脆弱な存在ですが、その一部は、ボランティアのホワイトハットハッカー軍団からサイバーセキュリティの強化を受けることができるかもしれません。
複数のサイバー専門家が、DEF CON Franklinという公共サービスプロジェクトの一環として、すでに小規模な水処理施設のセキュリティ向上を支援しています。このプロジェクトは2024年にラスベガスで開催されたDEF CONサイバーセキュリティカンファレンスで開始されました。しかし、今年のDEF CONカンファレンスで、プロジェクトの主催者は、この取り組みを拡大する計画を、全米農村水協会(NRWA)と提携して発表し、全米の数千の水道システムのセキュリティ強化を支援することを明らかにしました。
「私たちは、脅威の緊急性とコミュニティ主導の解決策の可能性の両方を目の当たりにしてきました」と、DEF CON Franklinの共同創設者であるジェイク・ブラウン氏は声明で述べています。
全米には5万5千以上の地域水道システムがあり、大都市、小さな町、農村地域に水を供給しています。水はライフラインセクターと見なされており、一部の事業者は米軍基地に水を供給しているため、国家安全保障資源とされています。しかし、多くの小規模水道システムは、わずかな予算、老朽化した技術、専任のサイバーセキュリティ担当者がいない状態で運営されており、混乱を引き起こそうとするハッカーにとって魅力的な標的となっています。
2023年末、イランのハッカーが複数の水道事業者に侵入し、イスラエル製のプログラマブルロジックコントローラーを使用する組織を標的にしました。2024年秋には、米国最大の水道事業者であるAmerican Waterが、サイバー攻撃を受け、一部のシステムを停止せざるを得ませんでした。ハッカーが産業用制御システムを操作して水の供給を毒物で汚染することへの懸念は非常に強く、2021年にフロリダ州のある都市でそのような試みが報告された際には、実際には過剰に報道されたにもかかわらず、ニュースが過熱しました。
NRWAは、DEF CON Franklinとの提携拡大を通じて、水道業界への脅威の高まりに対抗したいと考えています。ボランティアハッカーは過去9か月間、インディアナ州、オレゴン州、ユタ州、バーモント州の事業者のセキュリティ強化を支援してきましたが、NRWAは今、より高度で広範囲なサイバー支援システムを提供するためのパイロットプログラムを設計しています。
このプログラムは、マネージド・セキュリティ・サービス・プロバイダー(MSSP)のように機能しますが、1社の防御サービスを参加事業者に提供するのではなく、複数のテクノロジー企業やセキュリティ企業が支援を提供できるプラットフォームとなります。
最新情報をお届けします。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。
「これは、私たちの小規模システムをさらに強化するために何ができるか、という次のステップでした」と、NRWAの規制担当スペシャリスト、ジョン・デグール氏は最近DEF CONでのCybersecurity Diveのインタビューで語りました。「Franklinには素晴らしいボランティアのサイバーセキュリティ専門家がいて、私たちは水道事業者との強い関係を持っています。」
無料サービス
NRWAとFranklinは現在、プログラムの設計と、企業が無料または割引価格で提供できるサービスについて協議しています。Franklinのボランティアサイバーセキュリティ専門家は「[技術]スタックがどのようなものか」についてアドバイスを共有しており、NRWAはそれらのアイデアと小規模事業者のセキュリティニーズに関する知見を組み合わせています。
産業用サイバーセキュリティ企業Dragosは、どの無料ツールが水道システムに「最も効果的か」について主催者と話し合っていると、ブラウン氏はCybersecurity Diveに語りました。「同様に高価値で無料、フリーミアムではないリソースを提供できる他のパートナーも探しています。」
NRWAがMSSPプログラムの運営を担当し、既存の事業者との関係を活用しますが、Franklinの専門家が全国に展開し、事業者が参加企業のサービスを導入するのを支援します。ブラウン氏によれば、Franklin(登録ボランティア約350人)から各事業者に専任のサイバーアドバイザーを配置することが目標です。
参加企業によっては、提供されるサービスには脆弱性スキャン、ペネトレーションテスト、ID管理、資産インベントリ、パッチ管理、侵入検知、脅威インテリジェンス、インシデント対応などが含まれる可能性があります。参加するセキュリティベンダーは、ファイアウォールやVPNなどのツールも提供するかもしれません。強力な認証設定のような基本的なサポートでも大きな違いが生まれます。たとえば、イランがハッキングした水道事業者は「1111」というパスワードを使用していました。
水道事業者がサイバー侵入を受けた場合、Franklinのハッカーが被害の封じ込めや運用復旧を支援できると、デグール氏は述べています。
メンバー募集
NRWAは、MSSPプログラムのパイロットテストへの参加に関心があるかどうかを把握するため、会員への働きかけを開始しました。デグール氏によれば、「好意的に受け止められており」、NRWAは「パイロットに協力できる事業者の特定を始めている」とのことです。
組織は、パイロットプログラムに5〜10の事業者を参加させたいと考えており、これにより全国数万の事業者にサービスを提供できる恒久的なプログラムの設計方法を把握することができます。パイロットが成功すれば、デグール氏は「連邦政府などから資金を確保し、より大規模なモデルに拡大したい」と述べています。
水道とサイバーの連携
Franklinの取り組みが拡大する中、主催者は、ミッションクリティカルなシステムに外部者が手を加えることに慎重な重要インフラ運営者と、現場環境を十分に理解していないかもしれないボランティアのセキュリティ愛好家との間に信頼関係を築く必要があります。「これらのコミュニティはサイバーセキュリティ専門家を知らず、サイバーセキュリティ専門家も多くの場合、農村の水道の事情を理解していません」とデグール氏は述べています。事業者がNRWAとその州支部を信頼しているため、「私たちがその橋渡し役になれる」と語りました。
FranklinのボランティアがNRWAのサイバーセキュリティ・サーキットライダープログラムに参加したことが、こうした信頼関係の基盤となりました。これまでに5つの事業者とハッカーが提携しており、NRWAは「非常に良いフィードバック」を受けているとデグール氏は述べています。
DEF CONでは、デグール氏とNRWAの上級政策ディレクターであるチャールズ・スティーブンス氏が、産業用制御システムや政府政策に特化したグループを含む、カンファレンスの複数の専門コミュニティの代表者と会談しました。彼らの意見が「私たちの構想の形成に大いに役立っています」とデグール氏は述べています。
NRWAは、年内にMSSPパイロットを開始するため、十分なハッカーの審査、事業者の募集、企業の協力を目指しています。
「物事は急速に良い方向に進んでいます」とデグール氏は述べました。