Laporan terbaru dari Kantor Akuntabilitas Pemerintah (GAO) menyoroti kebutuhan mendesak bagi Badan Perlindungan Lingkungan (EPA) untuk memperkuat strateginya dalam hal keamanan siber di sektor air. Karena ancaman siber semakin membahayakan keselamatan dan keandalan sistem air dan air limbah di seluruh Amerika Serikat, GAO menyerukan lebih banyak langkah keamanan siber untuk melindungi infrastruktur penting ini dari serangan.
Sektor air, yang mencakup hampir 170.000 sistem air dan air limbah di seluruh negeri, menghadapi risiko keamanan siber yang meningkat. Laporan baru GAO menyoroti kerentanan sistem ini terhadap serangan siber, yang berpotensi mengganggu kesehatan masyarakat dan lingkungan secara signifikan.
Keamanan Siber Sektor Air Menjadi Prioritas di Tengah Meningkatnya Serangan Siber
Pada tahun 2023, peretas yang terkait dengan Iran menargetkan sistem air di dekat Pittsburgh dalam aksi protes geopolitik. Demikian pula, peretas yang didukung Tiongkok telah terlibat dalam upaya membobol sistem air minum, yang mungkin bertujuan untuk menguasai selama masa ketegangan politik. Selain itu, ancaman dari dalam merupakan hal yang perlu dikhawatirkan, seperti yang ditunjukkan oleh insiden tahun 2019 di mana seorang mantan karyawan diduga membobol sistem pengolahan air milik perusahaan utilitas Kansas.
Meskipun terdapat kesenjangan dalam keamanan siber sektor air, pendekatan sektor air masih terfragmentasi dan reaktif. Banyak perusahaan utilitas bergulat dengan teknologi usang yang mempersulit upaya untuk mengintegrasikan langkah-langkah keamanan siber modern. Lebih jauh lagi, investasi sektor ini dalam keamanan siber sering kali dibayangi oleh kebutuhan mendesak untuk mematuhi persyaratan peraturan, yang cenderung memprioritaskan kualitas air daripada keamanan siber.
Saat ini, pendekatan EPA bergantung pada kerja sama sukarela dari perusahaan utilitas, yang terbukti tidak memadai mengingat besarnya dan canggihnya ancaman siber saat ini. Akibatnya, peningkatan keamanan siber sebagian besar bersifat sukarela dan tidak konsisten.
Itu Laporan GAO menyoroti bahwa meskipun EPA telah terlibat dalam beberapa upaya untuk meningkatkan keamanan siber sektor air, lembaga tersebut belum melakukan penilaian risiko yang komprehensif atau mengembangkan strategi yang mempertimbangkan risiko. Kurangnya pendekatan terpadu ini menghambat kemampuan EPA untuk mengatasi ancaman paling signifikan di sektor tersebut secara efektif.
Perlunya Strategi Keamanan Siber Nasional
GAO merekomendasikan agar EPA mengambil langkah tegas untuk memperkuat keamanan siber sektor air. Secara khusus, laporan tersebut menyerukan pengembangan strategi keamanan siber nasional yang menangani risiko di seluruh sektor. EPA harus menilai apakah diperlukan kewenangan tambahan untuk menegakkan peningkatan keamanan siber dan memastikan bahwa sistem air mematuhi praktik terbaik untuk melindungi dari ancaman siber.
Meskipun EPA telah membuat beberapa langkah, seperti meningkatkan kegiatan penegakan hukum dan berkolaborasi dengan Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri, strategi yang lebih terstruktur dan proaktif diperlukan.
Laporan tersebut juga menunjukkan kesenjangan dalam kerangka kerja keamanan siber saat ini untuk sistem air, termasuk kekurangan keterampilan tenaga kerja dan tantangan dalam memperbarui teknologi lama. Upaya EPA untuk mewajibkan penilaian keamanan siber pada sistem air minum terhalang oleh tantangan hukum, yang menunjukkan perlunya pendekatan regulasi yang lebih jelas dan lebih berwibawa.
GAO telah menguraikan empat rekomendasi utama untuk EPA: melakukan penilaian risiko sektor yang komprehensif, mengembangkan dan menerapkan strategi keamanan siber nasional, mengevaluasi kecukupan kewenangan hukumnya, dan mencari kewenangan tambahan jika diperlukan. EPA telah menyetujui rekomendasi ini dan diharapkan akan merilis evaluasi kewenangannya dan strategi penilaian risiko pada pertengahan tahun 2025.
Risiko keamanan siber terhadap sistem air tidak hanya teoritis; namun menimbulkan ancaman nyata seperti yang ditunjukkan oleh serangan terkini terhadap sistem tersebut dari aktor negara-bangsa dan penjahat siber.