Etter påstander om to tilfeller av datainnbrudd i vannverk i USA, har to ulike utgaver av en påstått fellesmelding fra ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) og det føderale politiet blitt gjengitt i amerikanske nettpublikasjoner.
Problemet er at ingen av gjengivelsene har noen direkte lenke til en verifiserbar original. Begge er datert 22. november, men ingen er forsynt med klokkeslett. Det har ikke latt seg gjøre å finne noen av tekstene på nettstedene til verken ICS-CERT eller FBI.
Den ene versjonen er gjengitt av Jeffrey Carr, en kjent konsulent innen kybersikkerhet og kyberkrig. På sin blogg har han gjengitt denne korte notisen fra ICS-CERT/FBI. Her heter det at DHS (Department of Homeland Security) og FBI ikke har funnet bevis på noe datainnbrudd mot et vannverk i Springfield, Illinois. De avsanner kategorisk påstandene om datainnbrudd og ondsinnet trafikk fra Russland, som kom fram i en første rapport fra offentlige sikkerheter som gransket tilfellet.
Denne teksten nevner ikke det andre datainnbruddet, utført av en hacker med dekknavnet pr0f mot et vannverk i Texas, som hevder han utførte det i protest mot DHSs slappe holdning til IT-sikkerhet i vannverk og annen kritisk infrastruktur.
Den kategoriske avsanningen i de to første avsnittene i meldingen av at noe skal ha skjedd, blir noe svekket av det tredje og siste avsnittet, som lyder slik: «Tilfellet analyseres fortsatt, og relevant tilleggsinformasjon vil bli sluppet etter hvert som den gjøres tilgjengelig.»
Den andre utgaven av en melding fra ICS-CERT og FBI gjelder begge tilfellene, både Illinois og Texas. Den er gjengitt på Infosec Island, en sikkerhetsblogg som i forrige uke opprettet en egen seksjon for IT-sikkerhet i vannverk.
Denne meldingen er på seks avsnitt, og bruker noe av de samme formuleringene som den gjengitt av Jeffrey Carr. Men den trekker ikke den samme konklusjonen. Den sier at analysen av loggfilen ikke validerer påstandene i de to opprinnelige – og interne (FOUO betyr «for official use only») – rapportene om tilfellet i Illinois. Det arbeides videre for å kartlegge akkurat hvorfor pumpen sviktet. Og det arbeides videre med å granske tilfellene i både Illinois og Texas.
I en fersk artikkel på Slate, utdyper Jeffrey Carr hva som burde være det egentlige temaet i denne diskusjonen: Sikkerhetstilstanden i USAs kritiske infrastruktur er «forbløffende dårlig» («astoundingly poor»). Han forklarer også at Scada-servere sjelden har egen tilknytning til Internett: De er utsatt fordi de tilhører lokalnett der andre servere har nettilgang, eller fordi de betjenes gjennom bærbare pc-er som ikke kontrolleres grundig før de koples opp mot det interne nettet.
En artikkel i Wired, som gjengir den samme meldingen fra ICS-CERT/FBI som Jeffrey Carr, siterer en uavhengig sikkerhetsekspert, Joe Weiss, som sier han ikke tror på forsikringen om at de opprinnelige rapportene fra Illinois, om hacking fra Russland og påfølgende fysisk skade på en vannpumpe, var helt feil.
– Enten er det en russisk IP-adresse der, ellers så er den ikke der. Det er vanskelig å overse noe slikt… Hvordan kan to offentlige organer være så uenige?, sier Weiss til Wired.