למעלה מ- 70% ממערכות המים שנסקרו מאז ספטמבר האחרון לא עמדו בתקני אבטחה מסוימים שנקבעו על ידי הסוכנות להגנת הסביבה (EPA) וחשפו אותן למתקפות סייבר העלולות לפגוע במערכות שפכים ותברואה ברחבי ארה"ב. לחלק מהמתקנים קיימות נקודות תורפה קריטיות שזוהו בבדיקות האחרונות של EPA, כגון סיסמאות ברירת מחדל ששימשו לכניסה לפלטפורמות ולטכנולוגיות תפעוליות אחרות במהלך ההגדרה הראשונה, אך מעולם לא עודכנו באישורי גישה חדשים.
נתון זה הינו חלק מהתראת אכיפה שהוציאה EPA, הקוראת לבעלי ומפעילי מערכות מים להקשיח את אבטחת רשתות המחשוב שלהם על ידי ביצוע בדיקת מלאי הנכסים התפעוליים שלהם, ביצוע הדרכות למודעות לאבטחת סייבר והוצאת מערכות מחשוב מסוימות משימוש באינטרנט. ה- EPA גם תגביר את בדיקות תשתיות המים ובמקרים מסוימים תנקוט פעולות אכיפה אזרחיות ופליליות, לרבות בתגובה למצב העלול להוות סכנה ממשית ומהותית – נאמר בהודעת EPA לעיתונות.
מערכות מים קהילתיות המשרתות יותר מ- 3,300 אנשים נדרשות לערוך סדרה של הערכות אבטחת מידע ולשנות את תוכניות התגובה שלהן כל חמש שנים, כחלק מסעיף 1433 לחוק שתיית מים בטוחה. ההתראה נבעה ממספר תקריות במהלך השנה האחרונה, בהן היו מעורבים האקרים ממדינות עוינות וקבוצות פשעי סייבר אשר פרצו למערכות מחשוב של ספקי מים, הציגו הודעות שוא על קריאות טיפול במים, או חיבלו בפונקציות אחרות.
נוף המים של ארה"ב הינו סביבה רגולטורית מורכבת, כאשר בניגוד למוסדות פדרליים, אין לספקי מים כפריים רבים את הגישה הדרושה למימון, או למשאבים הדרושים לשיפור ההגנות הדיגיטליות שלהם. ה- EPA ניסה להחיל נהלי אבטחה מוקשחים על מפעילי המים, אך הסוכנות ביטלה באוקטובר תזכיר שהורה לספקים להעריך את הגנת הסייבר של מערכות המים שלהם בעת עריכת סקרי תברואה. הצעד, שלדברי הסוכנות היה מותר על פי חוק שתיית מים בטוחה, נדחה משפטית מצד מדינות וקבוצות מסחר.
חשוב להבין כי האקרים ופושעי סייבר רבים של מדינות עוינות הצליחו לפרוץ את תשתית המים ברחבי ארה"ב: סין פרסה את קולקטיב הפריצה הנרחב שלה Volt Typhoon, אשר פרץ למקטעי תשתית קריטיים עצומים ומיקם את עצמו בציוד ניתוב אינטרנט במטרה להוציא לפועל מתקפות סייבר נוספות, כך אמרו בעבר גורמי ביטחון לאומי. בנובמבר, פרצו פעילי סייבר הנתמכים על ידי משמרות המהפכה באיראן לבקרות טיפול במים תעשייתיים ובקרי לוגיקה ממוקדים מתוצרת חברת יוניטרוניקס הישראלית. לאחרונה, אושר כי האקרים הקשורים לרוסיה פרצו מספר רב של מערכות מים כפריות בארה"ב.
ה- EPA והמועצה לביטחון לאומי בארה"ב קראו בחודש מרץ למדינות לגלות עירנות לאיומי סייבר המכוונים למשק המים. "מערכות מי השתייה והשפכים הן יעד אטרקטיבי למתקפות סייבר מכיוון שהן מגזר תשתית קריטית, אך לרוב חסרים המשאבים והיכולת הטכנית לאמץ נוהלי אבטחת סייבר קפדניים", נכתב בהודעה שפרסמה הסוכנות. גורם רשמי ב- FERC (ועדת הפיקוח הפדרלית לאנרגיה) העיד לאחרונה כי מערכות סכרים נמצאות בסיכון למתקפות סייבר ואמר כי ניתן לפתח באופן סביר הנחיות חדשות לאבטחת סכרים תוך תשעה חודשים.