När gammal teknik når slutet av sin livscykel, utsätts vattenverk för betydande risker i samband med alltmer digitaliserade system och obeveklig cyberbrottslighet.

Ett vattenverks uppdrag är tydligt: att garantera tillförlitligheten och säkerheten för vattenförsörjningen till hushåll och företag. Men i en allt mer digitaliserad värld är dessa principer hotade.

Antalet cyberattacker i världen ökar och cyberbrottslingar blir mer avancerade för varje dag som går. Och vattentjänster är ett vanligt mål, liksom fabriker, transportföretag och energileverantörer.

Måndagen den 19 augusti bekräftade South Staffordshire Water, som styr vattenförsörjningen till cirka 1,6 miljoner människor, att det hade drabbats av en ransomware -ttack. Även om attacken verkar ha varit begränsad till datornätverket, hävdade brottslingarna att de hade tillgång till drifttekniknätet och i synnerhet till system för övervakning av kemikaliekoncentrationerna i vattnet.

På grund av torkan som råder i Storbritannien för närvarande arbetar medarbetarna inom vattendistributionen redan under press för att upprätthålla en säker försörjning. Det råder inget tvivel om att denna attack har slösat bort dyrbar tid för dem.

Även andra attacker mot vattenverk runt om i världen har skapat tidningsrubriker under de senaste åren. I april 2020 försökte cyberbrottslingar öka klorkoncentrationen vid fem anläggningar tillhörande Israels vattenmyndighet. I februari 2021 försökte en hackare höja mängden natriumhydroxid bortom säkerhetsgränserna i ett kommunalt nät i Florida.

En mängd problem som måste lösas

Idag arbetar många anläggningar med äldre teknik, som utformades för effektivitet snarare än för säkerhet. Samtidigt skapar nya investeringar i digitalisering och automatisering, inklusive det industriella internet of things (IIoT) och hyperconnectivity av system för fjärråtkomst eller analys, nya och större ytor för attacker. Även om denna teknik är lovande, särskilt när det gäller effektivitet, bör säkerheten prioriteras när den installeras.

Och även om attityderna förändras till industriell cybersäkerhet och skydd av driftteknik, har allmänna vattenverk andra krav att ta hänsyn till för att hantera risker och använda sina investeringar, i synnerhet den nuvarande bristen på personal och kompetens.

Dagens driftspersonal står ofta inför ett dilemma: att upprätthålla systemets funktion, medan de genomför komplexa konstruktionsändringar och uppgraderingar, vilket inte ger så mycket tid för koncentration på hantering av tillgångar och sårbarheter. Vissa enheter har riktlinjer som ytligt sett uppfyller kraven i 2018 års direktiv om säkerhet i nät- och informationssystem (NIS) men har inte personal som är i stånd att genomdriva dem och säkerställa underhållet.

Hjälp nära till hands

Det är lättare att säkerställa cybersäkerheten för drifttekniken när man förstår processerna och styrsystemen helt och hållet. Som Storbritanniens ledande automationsföretag (via varumärket Actemium) och en större aktör inom ICT-området (via Axians) är VINCI Energies UK & RoI särskilt väl positionerat för att stödja brittiska vattenverk som vill skydda sina tillgångar och sina kunder.

Vi arbetar med företag inom vatten- och sanitetssektorn för att bedöma riskerna av en eventuell cyberattack på deras driftteknik och vidta cybersäkerhetsåtgärder fortskridande, beroende på deras budget och risknivå.

Cybersäkerhet är lättare att hantera när den integreras i ett drifttekniksystem redan när det konstrueras men vi kan också säkerställa cybersäkerheten i våra kunders befintliga vattenrenings- och vattenförsörjningssystem. Det viktigaste är att anordna synlighet och övervakning på plats, för att fullt ut förstå vad som händer i nätet och vad som måste skyddas.

I båda fallen är den tekniska lösningen bara en del av ekvationen. En översyn av företagets förfaranden är ofta nödvändig för att upprätta en passande styrning och tillämpa riktlinjer, som gör det möjligt att stödja tekniska kontroller.

13/10/2022