Envenenamiento en Florida muestra brechas de ciberseguridad en los sistemas de agua

Oldsmar, Florida, experimentó el viernes uno de los mayores temores en materia de ciberseguridad: los piratas informáticos que buscaban envenenar su suministro de agua.

Es el tipo de infracción sobre la que se ha advertido durante años, pero que rara vez se ve. Los expertos dicen que el ataque, que se abordó rápidamente, es un excelente ejemplo de por qué la ciberseguridad del suministro de agua de Estados Unidos sigue siendo uno de los mayores riesgos para la infraestructura del país.

Y al igual que el sistema electoral estadounidense, tiende a ser un desafío extenso y variado.

En el caso del ataque de Oldsmar, todo lo que los piratas informáticos necesitaban para obtener acceso era iniciar sesión en una cuenta de TeamViewer, lo que permite a los usuarios remotos tomar el control total de una computadora asociada con la planta. Eso les permitió abrir y jugar con un programa que establece el contenido químico del depósito de agua subterránea que proporciona agua potable a casi 15.000 personas. La instalación tiene alarmas de respaldo para medir niveles de químicos peligrosos, pero los piratas informáticos pudieron al menos brevemente ordenar a la planta que envenenara el agua.

Con unos pocos clics, le dijeron que aumentara los niveles de lejía en el agua de 100 a 11,100 partes por millón. Cualquier cantidad superior a 10.000 puede provocar «dificultad para tragar, náuseas / vómitos, dolor abdominal y, potencialmente, incluso daño al tracto gastrointestinal», dijo en un correo electrónico la Dra. Kelly Johnson-Arbor, médica toxicóloga del National Capital Poison Center.

Bryson Bort, un consultor de ciberseguridad que ayudó a iniciar ICS Village, una organización sin fines de lucro que crea conciencia sobre la ciberseguridad para los sistemas industriales, dijo que tal práctica, configurar un programa de computadora para permitir a los usuarios tomar el control de sistemas industriales sensibles, es extremadamente común en los sistemas industriales. que no tienen los medios para emplear personal de expertos que estén disponibles a todas horas.