De Amerikaanse milieutoezichthouder EPA heeft alarm geslagen over de cybersecurity van Amerikaanse drinkwatersystemen, omdat een groot aantal niet aan de Safe Drinking Water Act voldoet en een deel daarvan kritieke kwetsbaarheden bevat. Het gaat dan om het gebruik van standaard wachtwoorden en het ontbreken van multifactorauthenticatie.

De Safe Drinking Water Act moet voor veilig drinkwater in de VS zorgen. Eind 2013 werd een aanvulling op de wet van kracht, die stelt dat drinkwaterbedrijven over risk and resilience assessments moeten beschikken, alsmede emergency response plannen. Eind vorig jaar voerde het Environmental Protection Agency (EPA) onderzoek uit en ontdekte dat meer dan zeventig procent van de drinkwaterbedrijven niet aan de aanvulling voldoet.

Sommige van de onderzochte systemen bleken ook kwetsbaar voor aanvallen. Daarbij noemt het EPA vooral het gebruik van standaard wachtwoorden en 'single logins', waarbij er alleen met een gebruikersnaam en wachtwoord wordt ingelogd. De afgelopen maanden werden meerdere drinkwaterbedrijven in de Verenigde Staten aangevallen, waarbij de aanvallers gebruikmaakten van standaard wachtwoorden, zoals '1111'.

Het agentschap heeft nu aangegeven dat het meer inspecties gaat uitvoeren en waar nodig zal handhaven. Daarbij zal er ook worden gekeken of drinkwaterbedrijven geregeld hun systemen op de aanwezigheid van kwetsbaarheden laten controleren. Tevens roept de EPA op om systemen niet direct vanaf het internet benaderbaar te maken.