השריף של מחוז פינלאס בפלורידה, בוב גולטיירי, הטיל פצצה במסיבת עיתונאים שכינס. לדבריו, שלושה ימים קודם לכן ניסה האקר להרעיל את מי השתייה של 15 אלף תושבי העיירה אולדסמר, אבל למרבה המזל עובד של מתקן הטיפול במים הבחין בכך ומנע זאת. הסיפור עורר בהלה לאומית ועולמית ותפס את תשומת ליבן של רשויות האכיפה הפדרליות. שנתיים אחר כך מתברר, כבדרך אגב, שהפריצה שהוכתרה כ"עניין של ביטחון לאומי" בכלל לא קרתה.

בבוקר יום שישי ה-5 בפברואר 2021, יומיים לפני הסופרבול בטמפה הסמוכה, עובד במתקן הטיפול במי שתייה של אולדסמר הבחין במישהו מתחבר מרחוק למחשב שבניטורו, והניח שמדובר בפעילות שגרתית מצד המנהל שלו או איש תמיכת IT. אבל בצהריים האלמוני התחבר שוב, השתלט על סמן העכבר ופתח וסגר תוכנות עד שמצא את מבוקשו: ממשק הניהול של מערכת ה-SCADA ששולטת על הכימיקלים שמוכנסים למים. האלמוני העלה את רמת הנתרן ההידרוקסידי מ-100 ל-11,100 חלקיקים למיליון – עלייה של 11,100%.

מתקן הטיפול במים משרת את 15 אלף תושבי אולדסמר. הוא משתמש בנתרן הידרוקסידי (NaOH), תרכובת אנאורגנית שהיא בסיס חזק, להעלאת רמת ה-pH של המים ומניעת קורוזיה של צינורות. בריכוזים גבוהים, התרכובת, שנקראת גם סודה קאוסטית, היא חומר מאכּל שמשמש לפתיחת סתימות בצנרת ועלול לגרום לגירויים, הקאות, שלשולים וכאבי חזה ובטן, ואף לפגיעה חמורה בכל רקמת גוף שבאה במגע איתו.

במסיבת העיתונאים הבהירו הדוברים שהעובד החזיר מיד את הרמה לטווח הבטוח, לפני שהמערכת הספיקה להזרים את כל הכמות המסוכנת של NaOH למים, דבר שהיה אורך יממה וחצי לפחות. ראש העירייה אריק סיידל ניסה להרגיע והסביר שגם אם המפעיל לא היה מבחין בחבלה, ישנן מספר מערכות התרעה ואל-כשל שהיו מקפיצות אזהרה בנושא. זה לא ממש מעודד, כי אם ההאקר השתלט על מחשב במתקן, מי מבטיח שהוא לא יכול היה לנטרל את המערכות הללו? בכל מקרה, גם האפשרות להתחבר מרחוק נוטרלה עד שאפשר יהיה להבטיח שאין יותר סכנת פריצה.

רשימת הכשלים הסייבר-אבטחתיים במתקן היתה ארוכה ומביכה. מערכת הטיפול במים, סיפר גולטיירי, משתמשת במערכת ההפעלה המיושנת חלונות 7. התמיכה בה הופסקה בתחילת 2020, שנה לפני הפריצה. כל המחשבים במתקן הטיפול במים היו מחוברים למערכת ה-SCADA, חלקו את אותה סיסמה והיו מחוברים לאינטרנט בלי פיירוול, כך לפי CBS והודעה ששלח משרד הגנת הסביבה של מסצ'וסטס לספקי מים ציבוריים בעקבות התקרית.

רויטרס דיווחו שההאקר התחבר למערכת דרך TeamViewer, תוכנה לשליטה מרחוק במחשבים. זו עדיין היתה מותקנת על חלק מהמחשבים במתקן, אף שלא נעשה בה שימוש בחצי שנה שקדמה לפריצה, מאחר שעברו להשתמש במוצר מקביל של גוגל כרום, כך לפי השריף גולטיירי. יצרנית טים-ויוור מסרה ל-CNN שחקירה שביצעה "לא העלתה שום אינדיקציה לפעילות התחברות חשודה דרך הפלטפורמה שלנו".

מסיבת העיתונאים של השריף בוב גולטיירי (במרכז), שבה דיווח על הפריצה למתקן המים של אולדסמר. משמאל: אל בריית'ווייט

בנוסף, מידע רגיש על המתקן ועובדיו דלף לרשת לפני הפריצה. תמונות של ממשק האדם-מכונה של מערכת ה-SCADA של מתקן המים הופיעו באתר של חברת ההנדסה McKim&Creed, במסגרת קידום עצמי לעבודה של החברה עם אולדסמר. החברה לא הגיבה על הדיווח באתר סייברסקופ, אבל הסירה את התמונות אחרי פנייתו, כשבוע אחרי הפריצה.

מחקר של חברת הסייבר Intel 471 העלה שבמאי 20', שנה לפני הפריצה, "מי שהם ככל הנראה האקרים איראניים" ניסו למכור גישה דרך VNC למערכת השבה וטיפול במי תהום של מתקן טיפול במים בפלורידה, וכן שאחד הצילומסכים שבידי המוכרים הציג רמות ואמצעי בקרה של משאבות סודיום הידרוקסיד (אם כי באינטל 471 הדגישו שלא הצליחו לאשש או להפריך קשר בין המכירה הזאת לבין המתקן באולדסמר

שלושה ימים לפני הפריצה, נחשפו פרטי התחברות – כתובות מייל וסיסמאות – של עובדי מתקן הטיפול במים, במסגרת דליפת מידע שכונתה COMB (ראשי תיבות של Compilation of Many Breaches).

A hacker was *this* close to poisoning the water supply of a county in Florida. pic.twitter.com/V0p2buVjII

— The Daily Show (@TheDailyShow) February 15, 2021

"עכשיו, אם אתה רוצה להרעיל מים, אתה יכול לעשות זאת מהנוחות של ביתך", הגדיר זאת אלכס המרסטון, דירקטור ניהול סיכונים בחברת הסייבר לתשתיות TrustedSec.

זו אמנם לא מתקפת הסייבר הראשונה על מערכות מים, ואפילו לא הראשונה שבה נרשם נhסיון לשבש את הרכבם. כבר ב-2016 דיווחה Verizon Security Solutions על האקרים שפרצו למתקן לטיפול במי שתייה ושינו את הרכב הכימיקלים בו. אבל הדיווח של ורייזון בוצע במסמך טכני שבו הגוף המותקף זכה לשם בדוי.

לעומת זאת, המתקפה על אולדסמר תווכה לציבור במסיבת עיתונאים חיה, על ידי שריף של עיירה אמיתית, ש-15 אלף תושביה היו היעד. זה הפך אותה למוחשית יותר, ולדוגמה פופולרית בקרב מומחי סייבר על יכולתם של האקרים לחדור לתשתיות קריטיות ולפגוע פיזית בהמוני אנשים.

A hacker broke into a Florida water treatment plant computer system and tampered with the levels of a potentially dangerous chemical before an employee spotted the suspicious activity in time. Now the FBI has opened an urgent investigation. @KerryNBC reports. pic.twitter.com/Rnnqxk0fNm

— TODAY (@TODAYshow) February 9, 2021

"זו צריכה להיות קריאת השכמה", אמר השריף גולטיירי. אתר חדשות הטק מאד'רבורד קבע שהמקרה "עשוי להיות פריצת אבטחה סייברית ופיזית רצינית", וחדשות CBS קראו לזה "מקרה מזעזע של פריצת מחשבים". אקסיוס ציינו ש"ההרעלה ההמונית שעתידה-היתה-לקרות היא תזכורת מצמררת לכך שאבטחת סייבר, שלעתים קרובות נתפסת בדמיון הפופולרי כמתחם מופשט של אחדים ואפסים – יכולה להיות עניין של חיים או מוות", והטמפה ביי טיימז אמר שעל אף שהזרמת ה-NaOH סוכלה מיידית, "הפעולה כשלעצמה עשויה להפוך זאת לסייברמתקפה על תשתיות קריטיות המוצלחת ביותר בארה"ב עד כה". הסנאטור מפלורידה מארק רוביו צייץ כי "צריך להתייחס לזה כעניין של ביטחון לאומי".

השריף גולטיירי, ה-FBI והשירות החשאי פתחו יחד בחקירה פלילית. מערך הסייבר הלאומי הישראלי הציע סיוע, לאחר שפחות משנה לפני כן נכשלה מתקפת סייבר דומה של איראן נגד מתקני מים בישראל. רשויות ברחבי ארה"ב שלחו התרעות והנחיות למתקני הטיפול במים המקומיים שלהן, וגוף ייעוץ סייבר פדרלי הוציא מסמך ייעוץ מפורט על התקרית ודרכי הימנעות.

עכשיו מתברר שלא היתה פריצה ולא היה האקר. אל בריית'ווייט, מנכ"ל העירייה בזמן התקרית, אמר בחודש מרץ בכנס של האגודה האמריקאית למינהל ציבורי: "ה-FBI הגיעו למסקנה שלא היה שום דבר, אין שום ראיות לגישה כלשהי מבחוץ, ושככל הנראה אותו עובד שנתפס כגיבור כי תפס את זה, היה זה שדפק על המקלדת של עצמו" ובטעות גרם להגברת ריכוז ה-NaOH. העובד, העריך בריית'ווייט, לא הבין שהוא זה שגרם לתקרית, ומאחר שעשה את המוטל עליו כשדיווח עליה למשרד השריף – לא פוטר מתפקידו.

אחרי ארבעה חודשי חקירה, אמר בריית'ווייט, "מסקנת ה-FBI היתה – זה לא קרה". בעקבות דבריו הודה ה-FBI כי "במהלך החקירה, ה-FBI לא הצליח לאשר שהתקרית הזאת בוצעה בחדירת סייבר שכוונה כלפי אולדסמר". אולם במשרד השריף של פינלאס מתעקשים ש"החקירה עדיין פתוחה ואין לנו תגובה".

בזמן אמת דווקא היה מי שפקפק בקונצנזוס הסייברמתקפתי – WaterISAC, גוף לשיתוף וניתוח מידע שהקימו ארגוני מים וביוב ומכוני מחקר בארה"ב. בהודעה שפרסם למחרת מסיבת העיתונאים הועלתה הסברה שמדובר בטעות אנוש: "בל נתרשל ולא נשקול לפחות שזו עשויה היתה להיות התחברות מורשית עם שינוי מכוון לערך לא-מכוון. האם זה מחוץ לטווח האפשרויות ששינוי רמה [של סודיום הידרוקסיד] מ'100' ל-'110' או '111' הוא שינוי מתקבל על הדעת, ושהאפסים העוקבים היו טעות שלא נמחקה, ולפיכך יצרה את הרושם של 'מתקפה'?"

אולם לחברות הסייבר ולגופי הסייבראבטחה הממלכתיים היה אינטרס לדחוף את נראטיב הסייברמתקפה. “מנכ"לי רשויות באזור שלי הודו לי במשך חודשים לאחר מכן", התוודה בריית'ווייט, "כי כל שאילתת תקציב על מימון נוסף לסייבראבטחה פתאום קיבלה 'כן' מוחלט".

המאמר התפרסם לראשונה באתר הפודקאסט "סייברסייבר"