אזהרה שפורסמה על ידי GAO כלפי ממשלת ארה"ב – תשתית הנפט והגז הימית של ארה"ב עומדת בפני סיכוני אבטחת סייבר משמעותיים ומתגברים הדורשים תשומת לב דחופה. GAO, המכונה לעתים קרובות "כלב השמירה של הקונגרס", היא סוכנות עצמאית, לא מפלגתית, הפועלת עבור הקונגרס. GAO בוחנת את השימוש בכספי משלם המסים האמריקאי ומספקת לקונגרס ולסוכנויות הפדרליות מידע אובייקטיבי, לא מפלגתי, מבוסס עובדות כדי לסייע לממשלה לחסוך כסף ולעבוד באופן יעיל יותר. GAO טוענים בדוח חדש כי רשת של למעלה מ- 1,600 מתקנים ימיים המייצרים חלק ניכר מהנפט והגז של ארה"ב נמצאים בסיכון הולך וגובר למתקפות סייבר. האזהרה מגיעה יותר משנה לאחר שכנופיות כופרה תקפו את ה- Colonial Pipeline והשביתו את מערכת צינורות הנפט בארה"ב, עליה מסתמכים מיליוני אמריקאים.
באזהרה של GAO נאמר שלא רק שהממשלה זיהתה את מגזר הנפט והגז הימי כמטרה של גורמי מדינה עויינים, במיוחד כאלו הנתמכים על ידי סין, איראן, צפון קוריאה ורוסיה, אלא גם Operational Technology – OT המשמשת לעתים קרובות את המתקנים הללו לניטור ושליטה בציוד פיזי – מכילה פגמי אבטחה מרובים העלולים לאפשר לתוקפים להשתלט מרחוק על פונקציות שונות, כולל אלו הקריטיות לבטיחות.
סוכנות אבטחת הסייבר האמריקאית CISA פרסמה מספר עצות לגבי פגיעויות OT רק השנה, תוך פירוט של בעיות כמו הצפנה חלשה וקושחה בלתי מאובטחת וקראה למשתמשים הרלוונטיים לזהות נקודות תורפה להפחתת סיכונים פוטנציאליים. ה- GAO ציין בדוח החדש שלו כי תשתית OT מדור קודם שעדיין נמצאת בשימוש במתקנים רבים, פגיעה גם בשל היעדר אמצעי אבטחת סייבר מובנים והיעדר עדכוני תוכנות אבטחת מידע. הדוח מציין שלמכשירים ישנים יותר אין את היכולת לרשום פקודות הנשלחות למכשירים, מה שמקשה על זיהוי פעילות זדונית.
באזהרת ה- GAO נקראת ארה"ב באמצעות המשרד לאכיפת בטיחות ואכיפה סביבתית (BSEE) המפקח על פעולות נפט וגז בים, לטפל בסיכוני אבטחת הסייבר ההולכים וגדלים. זאת, על אף מאמצים לטפל בסיכוני האבטחה הללו כבר בשנת 2015, לאור העובדה כי עדיין לא נקטה פעולה מהותית כמעט עשור מאוחר יותר. "בהעדר פיתוח ויישום מיידי של אסטרטגיה מתאימה, תמשיך תשתית נפט וגז ימית להישאר בסיכון משמעותי", מדגישים GAO ומציינים כי למתקפת סייבר מוצלחת על תשתית נפט וגז ימית עלולות להיות השלכות קטסטרופליות, כולל מוות, פציעות, ציוד פגום או הרוס וזיהום בסביבה הימית. כמו כן, הם קורים ל- BSEE לפתח וליישם בדחיפות אסטרטגיית אבטחת סייבר הכוללת הערכות סיכונים, יעדים, פעילויות ומדדי ביצועים, הגדרות תפקידים, הגדרת תחומי אחריות והגדרת גורמי תיאום. ה- BSEE מסכים באופן כללי עם הדוח והמלצותיו, אולם בפניית TechCrunch ל- BSEE לקבלת תגובה מפורטת בנושא, לא נמסרה כזו על ידי המשרד.
