ईपीए ने चेतावनी दी है कि ईरान और रूस अमेरिकी जल प्रणालियों पर साइबर हमला कर रहे हैं

21 मई 2024 : देश भर में जल उपयोगिताओं के खिलाफ साइबर हमले लगातार और अधिक गंभीर होते जा रहे हैं, पर्यावरण संरक्षण एजेंसी ने सोमवार को चेतावनी दी क्योंकि उसने एक प्रवर्तन चेतावनी जारी कर जल प्रणालियों से देश के पीने के पानी की सुरक्षा के लिए तत्काल कार्रवाई करने का आग्रह किया।

एजेंसी ने कहा कि पिछले साल संघीय अधिकारियों द्वारा निरीक्षण किए गए लगभग 70% उपयोगिताओं ने उल्लंघनों या अन्य घुसपैठ को रोकने के लिए बनाए गए मानकों का उल्लंघन किया। अधिकारियों ने छोटी जल प्रणालियों से भी हैक के खिलाफ सुरक्षा में सुधार करने का आग्रह किया। रूस और ईरान से जुड़े समूहों द्वारा हाल ही में किए गए साइबर हमलों ने छोटे समुदायों को निशाना बनाया है।

अलर्ट में कहा गया है कि कुछ जल प्रणालियाँ बुनियादी तरीकों से कम हो रही हैं, जिनमें डिफ़ॉल्ट पासवर्ड बदलने में विफलता या पूर्व कर्मचारियों की सिस्टम पहुंच में कटौती शामिल है। ईपीए ने कहा, क्योंकि जल उपयोगिताएं अक्सर उपचार संयंत्रों और वितरण प्रणालियों को संचालित करने के लिए कंप्यूटर सॉफ्टवेयर पर निर्भर होती हैं, इसलिए सूचना प्रौद्योगिकी और प्रक्रिया नियंत्रण की रक्षा करना महत्वपूर्ण है। साइबर हमलों के संभावित प्रभावों में जल उपचार और भंडारण में रुकावटें शामिल हैं; पंपों और वाल्वों को नुकसान; और रासायनिक स्तर में खतरनाक मात्रा में परिवर्तन, एजेंसी ने कहा।

ईपीए डिप्टी का कहना है कि कई अमेरिकी जल प्रणालियों में पर्याप्त साइबर सुरक्षा योजना का अभाव है

ईपीए ने कहा, “कई मामलों में, सिस्टम वह नहीं कर रहे हैं जो उन्हें करना चाहिए, जिसमें उनकी कमजोरियों का जोखिम मूल्यांकन पूरा करना शामिल है जिसमें साइबर सुरक्षा शामिल है और यह सुनिश्चित करना है कि योजना उपलब्ध है और उनके व्यवसाय करने के तरीके को सूचित करना है।” उप प्रशासक जेनेट मैककेबे।

निजी समूहों या व्यक्तियों द्वारा जल प्रदाता के नेटवर्क में प्रवेश करने और वेबसाइटों को हटाने या ख़राब करने के प्रयास नए नहीं हैं। हालाँकि, हाल ही में, हमलावर न केवल वेबसाइटों के पीछे गए हैं, बल्कि उन्होंने उपयोगिताओं के संचालन को भी लक्षित किया है।

हाल के हमले सिर्फ निजी संस्थाओं द्वारा नहीं हैं। जल उपयोगिताओं की कुछ हालिया हैकें भू-राजनीतिक प्रतिद्वंद्वियों से जुड़ी हुई हैं, और इससे घरों और व्यवसायों को सुरक्षित पानी की आपूर्ति में बाधा उत्पन्न हो सकती है।

मैककेबे ने चीन, रूस और ईरान को उन देशों के रूप में नामित किया जो “सक्रिय रूप से पानी और अपशिष्ट जल सहित अमेरिकी महत्वपूर्ण बुनियादी ढांचे को अक्षम करने की क्षमता की तलाश कर रहे हैं।”

पिछले साल के अंत में, “साइबर एवीएनजर्स” नामक ईरान से जुड़े समूह ने एक छोटे पेंसिल्वेनिया शहर के जल प्रदाता सहित कई संगठनों को निशाना बनाया, जिससे उसे रिमोट पंप से मैन्युअल संचालन पर स्विच करने के लिए मजबूर होना पड़ा। वे हमास के खिलाफ इजराइल के युद्ध के मद्देनजर यूटिलिटी द्वारा इस्तेमाल किए गए इजराइल-निर्मित उपकरण का पीछा कर रहे थे।

इस साल की शुरुआत में, एक रूसी-संबंधित “हैक्टिविस्ट” ने टेक्सास की कई उपयोगिताओं में परिचालन को बाधित करने की कोशिश की थी।

अमेरिकी अधिकारियों ने कहा कि चीन से जुड़े और वोल्ट टाइफून के नाम से जाने जाने वाले एक साइबर समूह ने संयुक्त राज्य अमेरिका और उसके क्षेत्रों में पीने के पानी सहित कई महत्वपूर्ण बुनियादी ढांचा प्रणालियों की सूचना प्रौद्योगिकी से समझौता किया है। साइबर सुरक्षा विशेषज्ञों का मानना है कि चीन-गठबंधन समूह सशस्त्र संघर्ष या बढ़ते भू-राजनीतिक तनाव की स्थिति में संभावित साइबर हमलों के लिए खुद को तैयार कर रहा है।

उद्योग विशेषज्ञ जल उपयोगिताओं के लिए नई साइबर सुरक्षा नीतियों का आह्वान करते हैं

“इन हैक्टिविस्ट समूहों के साथ पर्दे के पीछे काम करके, अब इन (राष्ट्र राज्यों) के पास प्रशंसनीय इनकार है और वे इन समूहों को विनाशकारी हमलों को अंजाम देने दे सकते हैं। और यह मेरे लिए एक गेम-चेंजर है, ”औद्योगिक साइबर सुरक्षा फर्म ड्रैगोस इंक के साइबर सुरक्षा विशेषज्ञ डॉन कैप्पेली ने कहा।

माना जाता है कि दुनिया की साइबर शक्तियां वर्षों से प्रतिद्वंद्वियों के महत्वपूर्ण बुनियादी ढांचे में मैलवेयर लगाकर घुसपैठ कर रही हैं, जो बुनियादी सेवाओं को बाधित कर सकता है।

प्रवर्तन चेतावनी का उद्देश्य साइबर खतरों की गंभीरता पर जोर देना और उपयोगिताओं को सूचित करना है कि ईपीए अपना निरीक्षण जारी रखेगा और गंभीर समस्याएं पाए जाने पर नागरिक या आपराधिक दंड लगाएगा।

मैककेबे ने कहा, “हम यह सुनिश्चित करना चाहते हैं कि हम लोगों तक यह बात पहुंचाएं कि ‘अरे, हमें यहां बहुत सारी समस्याएं मिल रही हैं।”

ईपीए ने यह नहीं बताया कि हाल के वर्षों में कितनी साइबर घटनाएं हुई हैं, और अब तक सफल होने वाले हमलों की संख्या कम है। एजेंसी ने जोखिम मूल्यांकन और आपातकालीन प्रतिक्रिया के संबंध में 2020 से लगभग 100 प्रवर्तन कार्रवाइयां जारी की हैं, लेकिन कहा कि यह जल प्रणालियों के सामने आने वाले खतरों का एक छोटा सा स्नैपशॉट है।

जल प्रदाताओं के खिलाफ हमलों को रोकना महत्वपूर्ण बुनियादी ढांचे के खिलाफ खतरों से निपटने के बिडेन प्रशासन के व्यापक प्रयास का हिस्सा है। फरवरी में, राष्ट्रपति जो बिडेन ने अमेरिकी बंदरगाहों की सुरक्षा के लिए एक कार्यकारी आदेश पर हस्ताक्षर किए। स्वास्थ्य देखभाल प्रणालियों पर हमला किया गया है। व्हाइट हाउस ने विद्युत उपयोगिताओं को भी अपनी सुरक्षा बढ़ाने के लिए प्रेरित किया है। ईपीए प्रशासक माइकल रेगन और व्हाइट हाउस के राष्ट्रीय सुरक्षा सलाहकार जेक सुलिवन ने राज्यों से पेयजल प्रणालियों पर साइबर हमलों से निपटने के लिए एक योजना बनाने को कहा है।

रेगन और सुलिवन ने 18 मार्च को सभी 50 अमेरिकी गवर्नरों को लिखे एक पत्र में कहा, “पेयजल और अपशिष्ट जल प्रणाली साइबर हमलों के लिए एक आकर्षक लक्ष्य हैं क्योंकि वे एक जीवनरेखा महत्वपूर्ण बुनियादी ढांचा क्षेत्र हैं, लेकिन अक्सर कठोर साइबर सुरक्षा प्रथाओं को अपनाने के लिए संसाधनों और तकनीकी क्षमता की कमी होती है।”

मैककेबे ने कहा, कुछ सुधार सीधे हैं। उदाहरण के लिए, जल प्रदाताओं को डिफ़ॉल्ट पासवर्ड का उपयोग नहीं करना चाहिए। उन्हें एक जोखिम मूल्यांकन योजना विकसित करने की आवश्यकता है जो साइबर सुरक्षा को संबोधित करे और बैकअप सिस्टम स्थापित करे। ईपीए का कहना है कि वे उन जल उपयोगिताओं को मुफ्त में प्रशिक्षित करेंगे जिन्हें मदद की ज़रूरत है। बड़ी उपयोगिताओं के पास आमतौर पर हमलों से बचाव के लिए अधिक संसाधन और विशेषज्ञता होती है।

एसोसिएशन ऑफ स्टेट ड्रिंकिंग वॉटर एडमिनिस्ट्रेटर के कार्यकारी निदेशक एलन रॉबर्सन ने कहा, “एक आदर्श दुनिया में… हम चाहेंगे कि हर किसी के पास साइबर सुरक्षा का आधारभूत स्तर हो और हम इसकी पुष्टि करने में सक्षम हों।” “लेकिन यह बहुत दूर है।”

कुछ बाधाएँ मूलभूत हैं। जल क्षेत्र अत्यधिक विखंडित है। लगभग 50,000 सामुदायिक जल प्रदाता हैं, जिनमें से अधिकांश छोटे शहरों में सेवा प्रदान करते हैं। कई स्थानों पर मामूली स्टाफिंग और कम बजट के कारण बुनियादी बातों को बनाए रखना काफी कठिन हो जाता है – साफ पानी उपलब्ध कराना और नवीनतम नियमों का पालन करना।

“निश्चित रूप से, साइबर सुरक्षा उसी का हिस्सा है, लेकिन यह कभी भी उनकी प्राथमिक विशेषज्ञता नहीं रही है। तो, अब आप साइबर खतरों से निपटने के लिए एक जल उपयोगिता से इस नए प्रकार के विभाग को विकसित करने के लिए कह रहे हैं, टेक्सास टेक यूनिवर्सिटी के जल विशेषज्ञ एमी हार्डबर्गर ने कहा।

ईपीए को असफलताओं का सामना करना पड़ा है। राज्य समय-समय पर जल प्रदाताओं के प्रदर्शन की समीक्षा करते हैं। मार्च 2023 में, ईपीए ने राज्यों को उन समीक्षाओं में साइबर सुरक्षा मूल्यांकन जोड़ने का निर्देश दिया। यदि उन्हें समस्याएँ मिलतीं, तो राज्य को सुधार के लिए बाध्य करना होता।

लेकिन मिसौरी, अर्कांसस और आयोवा ने अमेरिकन वॉटर वर्क्स एसोसिएशन और एक अन्य जल उद्योग समूह के साथ मिलकर इस आधार पर अदालत में निर्देशों को चुनौती दी कि ईपीए के पास सुरक्षित पेयजल अधिनियम के तहत अधिकार नहीं है। अदालती झटके के बाद, ईपीए ने अपनी आवश्यकताएं वापस ले लीं लेकिन राज्यों से स्वैच्छिक कार्रवाई करने का आग्रह किया।

विशेषज्ञों का कहना है कि सुरक्षित पेयजल अधिनियम में साइबर सुरक्षा के लिए अधिकार का अभाव है

सुरक्षित पेयजल अधिनियम के तहत कुछ जल प्रदाताओं को कुछ खतरों के लिए योजनाएं विकसित करने और प्रमाणित करने की आवश्यकता है कि उन्होंने ऐसा किया है। लेकिन इसकी शक्ति सीमित है.

रॉबर्सन ने कहा, “कानून में (साइबर सुरक्षा) के लिए कोई अधिकार नहीं है।”

अमेरिकन वॉटर वर्क्स एसोसिएशन के संघीय संबंधों के प्रबंधक केविन मॉर्ले ने कहा कि कुछ जल उपयोगिताओं में ऐसे घटक होते हैं जो इंटरनेट से जुड़े होते हैं – एक सामान्य, लेकिन महत्वपूर्ण भेद्यता। उन प्रणालियों को ओवरहाल करना एक महत्वपूर्ण और महंगा काम हो सकता है। और पर्याप्त संघीय वित्त पोषण के बिना, जल प्रणालियाँ संसाधन खोजने के लिए संघर्ष करती हैं।

उद्योग समूह ने साइबर सुरक्षा और जल विशेषज्ञों का एक नया संगठन स्थापित करने के लिए उपयोगिताओं और अधिवक्ताओं के लिए मार्गदर्शन प्रकाशित किया है जो ईपीए के साथ साझेदारी में नई नीतियां विकसित करेगा और उन्हें लागू करेगा।

मॉर्ले ने कहा, “आइए उचित तरीके से सभी को साथ लाएं।” उन्होंने कहा कि छोटी और बड़ी उपयोगिताओं की अलग-अलग ज़रूरतें और संसाधन होते हैं।